Комментарии к правилу (стандарту) аудиторской деятельности "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем" (Н. Ремизов, Е. Гутцайт, О. Островский, "Финансовая газета", N 12, март 2001 г.)

Комментарии к правилу (стандарту) аудиторской деятельности
"Оценка риска и внутренний контроль. Характеристика и учет среды
компьютерной и информационной систем"*(1)


Одним из вопросов, которые целесообразно поднимать при анализе того или иного правила (стандарта) аудиторской деятельности, является актуальность и своевременность его появления. Комментируемый документ имеет отношение к рассмотрению в ходе аудита компьютерных систем обработки бухгалтерских данных, применяемых экономическими субъектами. Следует отметить, что российский бухгалтерский учет и здесь имеет свои специфические особенности по сравнению с экономически развитыми странами.

Во-первых, на многих российских предприятиях бухгалтерский учет до сих пор ведется вручную. Во-вторых, имеющиеся на предприятиях современные компьютеры нередко используются бухгалтерами лишь как пишущие машинки с расширенными возможностями. В-третьих, зачастую бухгалтеры не хотят, не могут или не готовы использовать полный спектр возможностей компьютерных программ, хотя и качество, и количество компьютерных бухгалтерских систем постоянно возрастает.

Следует отметить, что и российские аудиторы не всегда готовы оказывать своим клиентам квалифицированную помощь в отношении внедрения в бухгалтерский учет современных компьютерных систем, а также оптимизации работы уже функционирующих бухгалтерских программ.

Таким образом, подготовка правил (стандартов) аудиторской деятельности, посвященных этой проблематике, имеет меньшую актуальность, чем большинство других.

Тем не менее в ходе подготовки российских правил (стандартов), аналогичных системе документов Международных стандартов аудита (МСА), было решено подготовить и данное правило (стандарт), поскольку российская экономика и бизнес стремительно развиваются.

На разработку комментируемого правила (стандарта) благотворное влияние оказал факт подготовки Международным центром по реформе системы бухгалтерского учета официального перевода Международных стандартов аудита на русский язык*(2). У российского документа очень много общего с международным прототипом. Имеющиеся различия невелики, перечислим их.

1. Международный прототип имеет статус Положения по международной аудиторской практике (ПМАП) 1008, что несколько ниже, чем статус МСА. В преамбуле к нему четко указано, что этот документ является дополнением к МСА 400 "Оценка рисков и система внутреннего контроля", он не является частью МСА и не имеет статуса МСА. Что касается российского документа, подготовленного на основе ПМАП 1008, то он имеет обычный статус правила (стандарта) аудиторской деятельности, и в его тексте не содержится таких оговорок. Впрочем, на наш взгляд, его можно считать дополнением к трем уже существующим правилам (стандартам) аудиторской деятельности: "Существенность и аудиторский риск", "Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита" и "Аудит в условиях компьютерной обработки данных". Возможно, что в последний при разработке последующей редакции правил (стандартов) целесообразно включить материал комментируемого документа, с тем чтобы все особенности аудита в условиях компьютерной обработки данных оказались собранными в одном стандарте.

2. В российском правиле (стандарте) незначительно изменена структура международного прототипа и изменен стиль изложения, что связано с устоявшимся порядком подготовки таких отечественных документов.

3. Российский документ снабжен большим количеством поясняющих примеров, в том числе и с указанием на конкретные финансово-хозяйственные операции и соответствующие бухгалтерские проводки. Положительным фактором здесь является то, что такие примеры повышают удобство документа для российских бухгалтеров и аудиторов. Отрицательный фактор заключается в том, что на протяжении 2001 г. запланировано изменение российского плана счетов бухгалтерского учета, и, следовательно, кое-что в этих примерах вскоре неизбежно устареет.

4. Терминологические различия. Например, и в комментируемом правиле (стандарте), и в некоторых других используется термин "компьютерная обработка данных (КОД)". В ПМАП 1008 имеется сноска к тексту, где говорится, что раньше в документах МСА использовался термин "обработка электронных данных", близкий к термину КОД, а в настоящее время предпочтение отдается термину "компьютерные информационные системы". Другими словами, в МСА было сочтено более точным перейти от термина, обозначающего процесс ("обработка"), к термину, обозначающему объект ("система").

Ряд различий в терминологии между официальным российским переводом МСА и правилами (стандартами) связаны с тем, что при подготовке перевода было принято решение "уточнить" некоторые англоязычные аудиторские термины.

Комментируемое правило (стандарт) состоит из четырех разделов: общие положения; риски в системе компьютерной обработки данных; система внутреннего контроля в условиях КОД; проверка аудиторской организацией надежности системы внутреннего контроля за системой КОД. Последний, четвертый, раздел содержит инструкции для аудиторов и обязательные для выполнения требования.


Риски в системе компьютерной обработки данных


В правиле (стандарте) рассматриваются две основные группы рисков, связанные с использованием системы КОД для целей бухгалтерского учета (п.2.1), - концентрация функций управления и концентрация данных и программ для их обработки.

В п.4.4 правила (стандарта) "Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита" сформулированы основные требования по разделению ответственности и полномочий сотрудников, занятых в учете, в целях повышения эффективности функционирования системы внутреннего контроля. При этом рекомендуется распределять между различными лицами такие функции, как:

непосредственный доступ к активам экономического субъекта;

разрешение на осуществление операций с активами;

непосредственное осуществление хозяйственных операций;

отражение хозяйственных операций в бухгалтерском учете.

Внедрение систем КОД обычно производится с целью повышения эффективности работы учетных работников и, как следствие, сокращения их количества (п.2.1.1). В результате может пропасть необходимое разделение функциональных обязанностей. Допустим, на некотором крупном предприятии до внедрения системы КОД отдельный сотрудник отвечал за ведение учета поступления и выбытия товарно-материальных ценностей (ТМЦ), а другой - за ввод информации в систему бухгалтерского учета. Таким образом, существовала возможность для взаимных сверок и поиска причин обнаруживаемых ошибок и искажений. Можно ожидать, что после внедрения системы КОД останется лишь один сотрудник. Соответственно произойдет экономия на заработной плате второго сотрудника и возникнет выигрыш во времени обработки данных. Однако руководству бухгалтерии придется предусмотреть дополнительные контрольные процедуры, поскольку и осуществление операций с активами, и их отражение в учете окажутся в руках одного и того же человека, что теоретически облегчает возможность осуществления каких-либо махинаций.

Внедрение систем КОД требует достаточно высокой квалификации учетных работников, а применение компьютерной системы бухгалтерского учета с единообразным (для различных разделов учета) видом экрана ввода данных (у компьютерных специалистов это называется "пользовательский интерфейс") позволяет с успехом добиваться взаимозаменяемости сотрудников в ходе работы. Такой рост квалификации и взаимозаменяемость могут служить резервом повышения эффективности работы, но вместе с тем таят в себе и определенные риски (п.2.2). Приведем несколько примеров из аудиторской практики.

Помимо первичных документов (ведомостей, счетов, накладных), значение которых одинаково велико и при бумажном способе ведения учета, и при компьютерном, имеется ряд документов, роль которых снижается при переходе к системам КОД. Речь идет о различных бухгалтерских расчетах и справках, предусмотренных, как правило, для подтверждения факта одобрения операции уполномоченным руководителем. Например, рядовой бухгалтерский работник может перечислить средства в погашение банковской ссуды, а также провести данную операцию по счетам учета, но решение о том, какие средства перечислять (будет ли это обычный месячный платеж, увеличенный платеж с целью быстрее погасить ссуду и сэкономить на процентах, либо уменьшенный платеж с целью лишний раз обернуть средства и уплатить позже повышенный процент) должен принять один из руководящих работников предприятия, обладающий необходимыми полномочиями.

Другой пример: современная торговля часто использует гибкую ценовую политику, заимствованную из западных методов работы: оптовому покупателю делают специальную скидку, "надежному" покупателю отгружают товар без предоплаты, в отдельных случаях используют различные схемы рассрочки и т.п. Решение здесь также должны принимать руководители соответствующего ранга, а не бухгалтерские работники. И в том, и в другом случае разрешение на совершение тех или иных операций, их визирование могут производиться внутри системы КОД без составления специальных документов на бумажных носителях (п.2.2.1). Тем не менее правильно настроенная система КОД должна позволять в таких случаях отслеживать, кто дал разрешение на совершение операции: например, соответствующую отметку в компьютере могут сделать только строго определенные сотрудники предприятия, каждый из которых входит в компьютерную систему с известным ему одному паролем.

Еще одна проблема, связанная с применением систем КОД в бухгалтерском учете, вызвана тем, что счетные работники иногда за ненадобностью не выводят на печать промежуточные результаты бухгалтерских расчетов, а ориентируются на значения, считанные с экрана компьютера, либо вовсе не контролируют такие промежуточные значения. Однако не все системы КОД позволяют человеку осуществлять подобный контроль (пп.2.2.2, 2.2.3). Сегодня разработчики систем КОД отказались от попыток полностью заменить бухгалтера компьютером с помощью некой всеобъемлющей и универсальной программы. В любом случае кто-то должен подготовить рабочий план счетов, типовые бухгалтерские проводки должны отражать специфику деятельности предприятия и избранную учетную политику и т.п. В свою очередь аудиторы должны требовать от бухгалтерских работников, чтобы те ежемесячно или ежеквартально распечатывали и подшивали в папки промежуточные регистры учета (во избежание внесения изменений в документы "задним числом"), а также рекомендовать, какие именно регистры надо распечатывать и подшивать.

Предусмотренная некоторыми системами КОД возможность работы разных сотрудников с одним и тем же разделом учета (п.2.2.4) содержит риск того, что информация об отдельных финансово-хозяйственных операциях не будет введена в компьютер или же будет введена дважды. Помимо случайных ошибок доступность одной и той же базы бухгалтерских данных для различных сотрудников может послужить причиной для злоупотреблений разного рода.

В комментируемом правиле (стандарте) отмечается (п.2.3), что системам КОД присущи следующие специфические черты:

заданность;

автоматический контроль;

однократный ввод информации в несколько файлов одновременно;

операции внутри системы КОД или автоматические записи.

Под "заданностью" имеется в виду хорошо известное свойство компьютерных систем. В таких системах случайные технические или арифметические ошибки исключены: они действуют по заданным правилам (п. 2.3.1). Следовательно, если системе КОД задано верное правило, верным будет и результат. Однако, если правила работы системы КОД содержат ошибку, ошибочным будет и результат.

Правила учета и условия жизни экономического субъекта постоянно меняются. Поэтому, на наш взгляд, система КОД должна обладать свойствами перенастройки. Действительно, подавляющее большинство современных систем КОД допускает перенастройку. Однако при этом необходимо, чтобы любые действия по перенастройке производились бы в строго централизованном порядке и под контролем главного бухгалтера или уполномоченного им лица, а для учета внесенных изменений и улучшений велся бы специальный журнал.

Следует иметь в виду, что в условиях КОД возможно возникновение неумышленных ошибок (пп.2.3.3, 2.3.4). Например, по некоторым финансовым операциям система генерирует не одну, а несколько бухгалтерских проводок. Отдельные проводки могут генерироваться системой КОД самостоятельно, без участия специалистов и составления первичных документов. С одной стороны, это удобно, с другой - ошибка в одной введенной в компьютер цифре может повлечь за собой цепочку ошибок в самых разных счетах бухгалтерского учета, и возникшие при этом ошибки не всегда легко найти и исправить. Кроме того, некоторые операции могут иметь особенности, делающие некорректным применение стандартной последовательности проводок. Вышеперечисленные случаи доказывают, что бухгалтерским работникам необходимо досконально разбираться в особенностях своей бухгалтерской программы и предусмотренных в ней способах расчетов.

В п.2.3.5 правила (стандарта) справедливо отмечается уязвимость баз данных систем КОД. В результате неквалифицированных действий персонала или при наличии злого умысла компьютерные файлы могут оказаться уничтоженными (стертыми) и восстановление их может занять многие недели.


Система внутреннего контроля в условиях КОД


Знакомство с разнообразными рисками в системе КОД, перечисленными в предыдущем разделе, может вызвать законный вопрос: "Что же следует делать для того, чтобы устранить или снизить неблагоприятные последствия этих рисков?". Ответ на данный вопрос содержится в следующем разделе комментируемого правила (стандарта).

Предполагается, что экономические субъекты должны применять различные средства внутреннего контроля, в том числе достаточно традиционные, не связанные напрямую с системами КОД. Вместе с тем все используемые средства контроля за системой КОД предлагается разделить на общие и специальные (п.3.1).

Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности ее функционирования (п.3.2). Сюда в первую очередь входит наличие у экономического субъекта инструкций и правил, описывающих контрольные процедуры.

Ни для кого не секрет, что наличие "хороших" инструкций само по себе не является гарантией соблюдения описанных в них процедур. Зачастую инструкции даже не читают, особенно в тех случаях, когда нет надлежащего контроля за их соблюдением и наказаний (хотя бы символических), применяемых к их нарушителям. Тем не менее на многих предприятиях нет и формальных инструкций, а в этом случае не может быть и речи о соблюдении каких-либо процедур. Такие внутренние документы могут регламентировать порядок допуска сотрудников к различным сегментам системы КОД, установление специальных паролей и полномочий сотрудников в зависимости от их должности, процедуры настройки системы КОД, требования по документообороту вводимых в систему данных, порядок резервного копирования бухгалтерских файлов на случай их порчи или уничтожения и т.п.

Специальные средства контроля за применением системы КОД в системе бухгалтерского учета экономического субъекта предполагают процедуры, позволяющие удостовериться, что все бухгалтерские операции проходят надлежащую авторизацию (одобрение или разрешение руководителя соответствующего уровня) и отражаются в учете своевременно и без ошибок (п.3.3). К таким процедурам относят:

контроль за вводом информации;

контроль за обработкой и хранением информации;

контроль за выводом информации.

На стадии ввода данных необходимо обеспечить соблюдение ряда требований. Во-первых, целесообразно предусмотреть специальные визы, штампы или пометки на документах, свидетельствующие о разрешении ввести эти документы в компьютер. Во-вторых, другие отметки на документах должны свидетельствовать о том, что они были введены в компьютер. Это необходимо, чтобы избежать двойного ввода документов или вероятности того, что их вовсе не введут (например, потому, что два работника бухгалтерии понадеялись друг на друга). В-третьих, должны быть предусмотрены конкретные меры по оперативному обнаружению ошибок ввода. Некоторые меры предусмотрены непосредственно в системе КОД. Например, программа "отказывается" вводить отрицательное число, если параметр может иметь только положительное значение, запрещает ввод в качестве опечатки текстовых символов, если по смыслу вводится число, может запретить ввести число, выходящее за пределы некоторого диапазона и т. п. Определенные процедуры проверки могут использовать и сотрудники бухгалтерии. Наиболее очевидными являются оперативная проверка по завершении ввода порции данных сальдо по расчетному счету в банке или по кассе, которые можно сравнить с данными банковской выписки или кассовой книги соответственно. При необходимости введения длинных колонок цифр можно предусмотреть периодические сверки распечатки введенных данных с исходными значениями.

Процедуры контроля за обработкой и хранением информации являются наиболее сложными и требуют высокой квалификации от сотрудников бухгалтерии и лиц, занимающихся установкой системы КОД, поскольку предусматривают проверку правильности типовых проводок и схем расчетов, применяемых при работе системы КОД, проверку системы на тестовых примерах, а также ручную перепроверку отдельных операций, выполняемых системой КОД.

Контроль за выводом информации предполагает в первую очередь действия по обеспечению того, чтобы любые сведения, подготовленные системой КОД, поступали строго к тому кругу лиц, для которого они предназначены.

В комментируемом правиле (стандарте) отмечается, что вышеперечисленные виды контроля могут осуществляться как пользователями системы КОД или отделом внутреннего контроля экономического субъекта, так и в автоматическом режиме с помощью специальных программ (п.3.4).


Проверка аудиторской организацией надежности системы
внутреннего контроля за системой КОД


Данный раздел комментируемого правила (стандарта) начинается с конкретизации случаев, когда аудиторской организации необходимо проверить и когда она вправе не проверять надежность внутреннего контроля за системой КОД экономического субъекта (пп.4.1, 4.2). Такая проверка является необходимой, если без данных процедур аудиторы не смогут получить достаточную уверенность в том, что бухгалтерская отчетность экономического субъекта не содержит существенных искажений. Однако аудиторская организации может не тестировать внутренний контроль за системой КОД в случаях, если:

объем деятельности проверяемого экономического субъекта невелик (например, если речь идет об аудите малого экономического субъекта);

влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно (частным случаем, по-видимому, является ситуация, когда система КОД отсутствует как таковая);

обработка бухгалтерских данных ведется третьей стороной (т.е. специализированной бухгалтерской фирмой или такой аудиторской организацией, которая не проводит у данного экономического субъекта обязательный аудит).

В начале проверки аудиторская организация должна оценить, насколько существенно влияние общего контроля за системами КОД на их применение в бухгалтерском учете экономического субъекта, и относится ли общий контроль непосредственно к применению систем КОД (п.4.3). Например, существует достаточно много экономических субъектов, где наряду с системами КОД велик удельный вес "ручных" бухгалтерских операций (например, журналы и ведомости ведутся вручную, а система КОД используется для того, чтобы свести воедино бухгалтерскую информацию и подготовить отчетность). В этом случае существование надежных средств контроля за операциями, оформляемыми вручную, позволяет аудитору не требовать тщательного и разветвленного контроля за работой систем КОД.

Вместе с тем, если удельный вес компьютерных операций превышает долю операций ручных, аудитор должен уделить внимание наличию общих средств контроля системы КОД, т.е. проверить, имеется ли на предприятии распределение функций и полномочий сотрудников и существуют ли необходимые правила и инструкции по данному вопросу. Если внутренние документы имеются, аудитору следует перейти к изучению и анализу специальных средств контроля, т.е. проверить, как выполняются положения правил и инструкций учетными работниками в конкретных ситуациях, и затем по результатам тестирования средств контроля сделать вывод о надежности системы КОД.

В случае если аудитор считает надежность общих средств контроля неудовлетворительной (правила и инструкции на проверяемом предприятии отсутствуют), то в соответствии с правилом (стандартом) "риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня". Другими словами, в этом случае нецелесообразно проверять средства специального контроля (например, выяснять, пользуется ли паролем конкретный сотрудник, если к его базе данных другие сотрудники могут иметь доступ и без пароля, или, например, если главный бухгалтер не может разъяснить аудитору, кто, когда и как настраивает в системе КОД перечень типовых проводок, то не следует планировать проверку документов, отражающих перенастройку системы КОД). В данном случае аудит следует проводить исходя из низкой надежности контроля за системой КОД.

Наконец, в случае, когда надежность как общих, так и специальных средств контроля представляется аудитору удовлетворительной (п.4.4), для тестирования специальных средств аудитору рекомендуют ограничиться следующими процедурами:

тестирование ручного контроля, проводимого персоналом экономического субъекта;

тестирование контроля за выводом информации;

тестирование программного обеспечения.

Тестирование ручного контроля следует дополнять процедурами наблюдения аудитора за тем, выполняются ли персоналом экономического субъекта контрольные процедуры на практике (п.4.4.1 и сноска к нему). При контроле исходящей информации системы КОД данные, представленные на бумажном носителе, проверяются аудиторами непосредственно, а для информации, находящейся на компьютерном носителе, целесообразно использовать специальные программные средства (п.4.4.2).

Для тестирования программного обеспечения экономического субъекта (п. 4.4.3) следует по возможности использовать специальные компьютерные программы, а также руководствоваться специальным правилом (стандартом) аудиторской деятельности "Проведение аудита с помощью компьютеров". Например, можно вводить заведомо ошибочную информацию и выяснять, насколько надежно система КОД отвергает ее. Кроме того, в качестве одного из возможных вариантов аудиторской организации предлагается "проверка программного кода" системы КОД. Здесь, очевидно, имеется в виду не проверка конкретных битов и байтов в компьютерных файлах, а проверка описаний действия компьютерной программы в определенных ситуациях. Так, большинство систем КОД позволяют редактировать или просматривать перечни типовых проводок и их конкретное содержание, а аудитор может проверить, по дебетам и кредитам каких счетов предполагается проводить операции по реализации или оплате услуг поставщиков и подрядчиков. Или, к примеру, в системе КОД может содержаться описание, аналогичное описанию функций выполнения расчетов в электронных таблицах. Например, с помощью специальных служебных слов или математических значков "больше", "меньше", "если", "то", "иначе", "выполнить" и т. п. можно закодировать условия для расчета подходного налога типа "если начисленная сумма заработной платы больше такого-то значения и меньше другого значения, то подоходный налог равен одной фиксированной величине плюс определенный процент от разности между величиной заработной платы и другой фиксированной величиной". Проверка соответствия вышеперечисленных описаний бухгалтерским или налоговым правилам доступна для большинства аудиторов, поскольку не требует от них специальных знаний информационных технологий.

В заключение отметим, что в комментируемом правиле (стандарте) не рассматривается возможность привлечения к работе специалистов по КОД, хотя такая возможность и не исключается. Если руководитель группы аудиторов не в состоянии самостоятельно разобраться в компьютерных вопросах, он может включить соответствующего специалиста в состав своей группы либо привлечь внешнего по отношению к аудиторской организации эксперта по системам КОД. В последнем случае работа будет организована в соответствии с правилом (стандартом) аудиторской деятельности "Использование работы эксперта".


Н. Ремизов,

директор Департамента технических стандартов

аудиторской фирмы "ФБК"


Е. Гутцайт,

старший научный сотрудник отдела методологии

бухгалтерского учета и аудита НИФИ Минфина России


О. Островский,

заместитель директора НИФИ Минфина России,

заведующий отделом методологии бухгалтерского учета и аудита


-------------------------------------------------------------------------

*(1) Правило (стандарт) аудиторской деятельности "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем" одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации 11 июля 2000 г. (протокол N 1) и опубликовано в журнале "Аудиторские ведомости", 2000 г., N 10.

*(2) Международные стандарты аудита "Кодекс этики профессиональных бухгалтеров" (1999). - М.: МЦРСБУ, 2000. - 699 с.


Газета "Финансовая газета"


Учредители: Министерство Финансов Российской Федерации, Главная редакция международного журнала "Проблемы теории и практики управления"

Газета зарегистрирована в Госкомпечати СССР 9 августа 1990 г.

Регистрационное свидетельство N 48

Издается с июля 1991 г.

Индексы 50146, 32232

Адрес редакции: г. Москва, ул. Ткацкая, д. 5, стр. 3

Телефон +7 (499) 166 03 71

http://fingazeta.ru/

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.