Компьютерная обработка данных на предприятии: определение риска средств контроля (Е.В. Кузнецова, "Аудиторские ведомости", N 2, февраль 2004 г.)

Компьютерная обработка данных на предприятии: определение
риска средств контроля

Федеральный стандарт аудиторской деятельности N 8 "Оценка аудиторских рисков и внутренний контроль", утвержденный постановлением Правительства Российской Федерации от 4.07.03 г. N 405, предписывает предварительно оценить на этапе планирования аудиторской проверки риск средств контроля, т.е. определить эффективность систем бухгалтерского учета и внутреннего контроля аудируемого лица с целью предотвращения или обнаружения и исправления существенных искажений, поскольку между риском средств контроля и количеством подлежащих сбору доказательств существует прямая зависимость. Стандарт допускает различные методы документирования информации по результатам предварительной оценки - текстовое описание, вопросники, контрольные перечни и блок-схемы. Наиболее удобной в практическом применении автору представляется электронная форма таблиц-опросников с вариантами ответов, по результатам заполнения которых рассчитывается риск контроля.

При определении риска средств контроля аудитору необходимо учесть дополнительные риски, вносимые в функционирование системы внутреннего контроля (СВК) наличием на предприятии среды компьютерной обработки данных (КОД), а также оценить действенность средств контроля в среде КОД. Общая концепция и основные цели контроля не зависят от того, какая форма учета - ручная или автоматизированная - применяется на предприятии, однако применение новых информационных технологий приводит к появлению новых объектов контроля и требует как разработки новых методов контроля, так и адаптации существующих к принципиально новым технологиям обработки данных. Влияние среды КОД на функционирование СВК предприятия освещается в российских правилах (стандартах) аудиторской деятельности: "Аудит в условиях компьютерной обработки данных" и "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем".

Внутренний контроль в компьютеризированных системах обычно включает общие и специальные средства контроля. Благодаря общим средствам контроля компьютеризированная система может развиваться и функционировать. Цель общих средств внутреннего контроля - обеспечить должную разработку и функционирование прикладных средств, а также целостность программ, банков данных и надежность компьютеризированных операций. Общие средства контроля относятся к компьютерной среде в целом, тогда как частные являются принадлежностью конкретных учетных систем.

Специальные средства контроля связаны с текущими операциями и постоянными данными, свойственными конкретной компьютеризированной системе учета, и, следовательно, являются специфическими. Цель специальных средств контроля (как ручных, так и программных) - обеспечить полноту и точность учетных записей, а также законность документов, являющихся результатом как ручной, так и программной обработки. Специальный контроль может осуществляться на этапах ввода, обработки, вывода информации, а также на этапе контроля содержания баз данных и констант.

Очевидно, что наличие среды КОД позволяет избежать многих счетных ошибок, автоматизировать ряд контрольных процедур, существенно ускорить сам процесс контроля и повысить его качество и эффективность, однако при этом следует учитывать риски, вносимые средой КОД в систему внутреннего контроля предприятия:

частично утрачивается разделение контрольных и исполнительских функций, в результате чего возникает опасность манипулирования данными;

операции могут отражаться в учете без предварительного санкционирования и составления первичных документов на бумажном носителе, поэтому есть вероятность отражения в учете и отчетности некорректной информации. Отсутствие оформленных должным образом первичных документов не позволит впоследствии подтвердить факт совершения данной хозяйственной операции;

возможны несанкционированный доступ к информации, а также ее утрата в результате технических сбоев в работе оборудования или заражения программного обеспечения компьютерными вирусами;

неправильно составленный алгоритм обработки данных вызывает возникновение системных ошибок.

В целом можно считать, что достоверность и сохранность информации полностью зависят от построения программного обеспечения и технических средств среды КОД и наличия на предприятии СВК, организованной надлежащим образом.

Нам представляется возможным предложить следующую комплексную методику определения риска средств контроля в процессе планирования аудита, учитывающую уровень автоматизации учета и управления на предприятии.

Для формализации изучения и оценки СВК целесообразно произвести декомпозицию оценки СВК до уровней ее компонентов (системы учета, контрольной среды, средств контроля), групп факторов и отдельных оцениваемых факторов. Влияние качества среды КОД на риск контроля как в части вносимых рисков, так и в части дополнительно создаваемых возможностей для автоматизированного контроля, можно учесть при помощи соответствующего повышающего (понижающего) коэффициента. Результатом оценки системы учета, контрольной среды, средств контроля, среды КОД являются числовые значения соответствующих нормированных взвешенных критериев качества (см. рисунок).

Определение значения критерия качества СВК

Поскольку авторы большинства предлагаемых в литературе методик определения риска средств контроля считают приоритеты составляющих СВК равноценными, предлагается значение КСВК вычислять как сумму трех нормированных в диапазоне от 0 до 1 показателей, умноженную на коэффициент, учитывающий качество средств контроля среды КОД:

КСВК = (КСБУ + ККС + КСК) х ККОД.

В процессе планирования аудиторских проверок был сделан вывод, что в зависимости от качества среды КОД при прочих равных условиях риск контроля может повышаться или понижаться примерно на 20%, что было подтверждено дополнительными исследованиями. Поэтому в данной модели было принято, что значение коэффициента качества среды КОД может колебаться от 0,80 до 1,20.

Надежность СВК и риск средств контроля рассматриваются как взаимодополняющие величины. При этом каждому из приведенных в табл.1 значений надежности СВК и риска контроля соответствует значение КСВК.

Таблица 1

Оценка надежности СВК и риска средств контроля

Оценка надежности	Оценка риска средств контроля	Значение КСВК (интервал)
Очень высокая	Минимальный	3,3 (от 3,0 до 3,6)
Высокая	Низкий	2,7 (от 2,4 до 3,0)
Удовлетворительная	Приемлемый	2,1 (от 1,8 до 2,4)
Низкая	Высокий	1,5 (от 1,2 до 1,8)
Очень низкая	Очень высокий	0,9 (от 0,6 до 1,2)
Отсутствие надежности	Максимальный	0,3 (от 0 до 0,6)

Как уже отмечалось, оценка системы учета, контрольной среды, средств контроля и среды КОД производится по группам факторов и отдельным составляющим их факторам. Будем исходить из того, что влияние каждого фактора на значение аудиторского риска не зависит от влияния остальных.

В табл.2 приведены выделенные нами группы факторов и составляющие их элементы, которые необходимо оценить аудитору для определения значений КСБУ, КСС, КСК и ККОД. Каждый элемент каждой группы факторов оценивается качественно, и качественной оценке соответствует определенная сумма баллов. Например, "да" - 1,2 балла, "частично, нерегулярно" - 1 балл, "нет" - 0,8 балла. Итоговый балл по каждой группе факторов вычисляется как среднее арифметическое балльных оценок составляющих ее элементов, а значимость каждой группы факторов в итоговой оценке элемента СВК определяется соответствующим весовым коэффициентом Аi, значения которых также приведены в табл.2.

Таблица 2

Группы факторов и их элементы, используемые для оценки СВК

Оцениваемый объект	Группа факторов		Аi	Составляющие группу факторов элементы
1. Система бухгалтерс- кого учета	1.1	Учетная политика и ее соблюдение	1	Наличие утвержденного плана сче- тов, охватывающего как синтетичес- кие, так и аналитические счета
				Использование утвержденных нетипо- вых форм внутренних учетных доку- ментов
				Применение единой учетной политики во всех подразделениях, выделенных на отдельный баланс (при наличии таковых)
				Наличие и соблюдение плана и гра- фика документооборота
	1.2	Организационная структура бух- галтерии и рас- пределение кон- трольных функций	0,7	Наличие утвержденной организацион- ной структуры
				Наличие должностных инструкций сотрудников бухгалтерии
				Разграничение пределов ответствен- ности за совершаемую и контроли- лируемую деятельность
	1.3	Документирован- ность учета	1,3	Наличие регистров бухгалтерского ского учета, их архивирование
				Ведение и оформление кассовой кни- ги, книги кассира-операциониста, книги учета ценных бумаг, книги покупок, книги продаж
				Определение порядка внесения изме- нений в данные учета
				Ведение реестра исправительных проводок
				Наличие на первичных учетных доку- ментах подписей лиц, сформировав- ших документы либо отразивших их в учете
2. Кон- трольная среда	2.1	Организационная структура пред- приятия	0,9	Наличие четкой структуры управле- ния предприятием
				Соответствие организационной структуры размерам и характеру деятельности предприятия
	2.2	Осуществляемая руководством кадровая полити- ка	1,1	Проведение профессионального тес- тирования принимаемых на работу сотрудников
				Наличие профильного среднего и высшего образования
				Регулярное проведение аттестации сотрудников
				Регулярное повышение квалификации сотрудников
				Количество исправлений в учете и налоговых расчетах по результатам предыдущих аудиторских и налоговых проверок
	2.3	Контроль за дея- тельностью под- разделений, вы- деленных на от- дельный баланс	1	Проведение проверок финансово-хо- зяйственной деятельности подразде- лений
				Наличие регламентов документообо- рота с подразделениями, выделенны- ми на отдельный баланс
	2.4	Наличие и функ- ционирование системы управ- ленческого конт- роля за резуль- татами финансо- во-хозяйственной деятельности предприятия	0,8	Наличие утвержденных форм опера- ной управленческой отчетности
				Наличие утвержденного внутренним распорядительным документом поряд- ка ведения управленческого учета
				Наличие системы финансового плани- рования
				Осуществление бюджетирования ре- сурсов
				Осуществление финансового анализа деятельности предприятия и динами- ки основных показателей
	2.5	Наличие и функ- ционирование системы незави- симого внутрен- него контроля	1,2	Наличие отдела внутреннего аудита, ревизионного отдела или другой аналогичной структуры
				Регулярное проведение проверок в соответствии с планом
				Документирование результатов про- верок и доведение до руководства предприятия
				Взаимодействие лиц, осуществляющих внутренний контроль, с внешними аудиторами
3. Основные средства контроля	3.1	Наличие адекват- ного разделения обязанностей	1	Выделение пределов личной ответ- ственности за совершаемую и кон- трольную деятельность
				Наличие разделения обязанностей по по санкционированию операций и ма- териальной ответственности по со- ответствующим активам
	3.2	Наличие эффек- тивных процедур санкционирования	1	Установление правил санкционирова- ния отдельных видов операций во внутренних распорядительных доку- ментах
				Наличие на документах виз и разре- шительных записей
	3.3	Подтверждение данных учета	1	Проведение сверки расчетов с контрагентами
				Проведение инвентаризации имущест- ва и обязательств
	3.4	Контроль сохран- ности активов и регистров бух- галтерского уче- та	1	Наличие системы мер для обеспече- ния сохранности активов и регист- ров учета
				Оформление соответствующими доку- тами перемещений товарно-матери- альных ценностей
				Наличие договоров с материально ответственными лицами
4. Качество среды КОД	4.1	Наличие инструк- ций и правил вы- полнения кон- трольных функций в среде КОД	1,2	Наличие регламентов работы с прог- раммными средствами
				Закрепление контрольных функций в инструкциях для автоматизированных рабочих мест
				Наличие документации разработчика на программный продукт
	4.2	Соответствие ис- пользуемых прог- раммных средств требованиям к современным ин- формационным системам	1,2	Наличие единой информационной сис- темы предприятия
				Архитектура сети
				Возможность ведения мультивалютно- го учета
				Для настройки программ не требует- ся специальная подготовка в облас- ти программирования
				Возможность ведения многоуровнего аналитического учета
				Возможность использования несколь- нескольких планов счетов
	4.3	Наличие средств обеспечения ин- формационной бе- зопасности	0,8	Лицензионная чистота используемых программных продуктов
				Ограничение прав и полномочий пользователей
				Использование средств защиты от вирусов и хакерства
	4.4	Сопровождение и поддержка прог- раммных средств	0,8	Наличие в штате предприятия специ- алистов в области компьютерных технологий
				Осуществление настройки, сопровож- дения и модернизации программных средств с привлечением франчайзин- говых фирм или фирм-разработчиков
				Проведение подготовки и обучения пользователей
	4.5	Наличие специ- альных средств контроля	1	Визирование вводимой в систему ин- формации
				Регулярная архивация данных на устройствах хранения информации
				Регулярный вывод регистров бухгал- терского учета на бумажный носи- тель
				Авторизация распечатанных регист- ров

Значение весовых коэффициентов, т.е. значимость оцениваемых факторов в системе внутреннего контроля, предлагается определять на основе анализа частоты возникновения потерь предприятий по причине проявления каких-либо недостатков действующей СВК.

В общем виде можно выделить два основных для анализируемого контекста вида потерь:

внешние потери, инициатором возникновения которых является внешний по отношению к предприятию объект (налоговые органы, контрагенты и т.п.);

внутренние потери, инициатором возникновения которых является внутренний по отношению к предприятию объект (персонал, отдел, структурное подразделение и т.п.)

Внутренние потери целесообразно разделить на две подгруппы:

пассивные потери, рассматриваемые как снижение текущего финансового результата при неизменной существующей структуре производства;

активные потери, рассматриваемые как невозможность наращивания финансового результата в будущем.

Анализ показал, что внешние потери, как правило, являются следствием недостатков в организации бухгалтерского учета и, следовательно, количество фактов возникновения таких потерь можно использовать в качестве показателя, характеризующего качество системы бухгалтерского учета. Активные потери и связанные с ними элементы качества контрольной среды предлагается оценивать на основании количества отклоненных руководством предприятия решений о расширении производства или освоении нового продукта. Пассивные потери, а соответственно и значимость основных средств контроля предлагается оценивать на основании количества фактов хищений, недостач, пересортицы, нарушений технологических нормативов в действующем производстве.

Пример определения значений весовых коэффициентов для оценки системы бухгалтерского учета приведен в табл.3.

Таблица 3

Расчет весовых коэффициентов для определения значения критерия
качества системы бухгалтерского учета

Область проявления недос- татков бухгалтерского учета	Количество наруше- ний, повлекших при- менение штрафных санкций со стороны налоговых органов из-за недостатков в соответствующей об- ласти бухгалтерско- го учета	Доля в общем объеме, %	Значение весо- вого коэффици- ента
1. Учетная политика, при- нятая в соответствии с ПБУ 1/99, и ее соблюдение	13	33	1
2. Организационная струк- тура бухгалтерии и рас- пределение контрольных функций	9	23	0,7
3. Документированность учета	18	44	1,3
Всего	40	100	3

Весовые коэффициенты для определения значения ККОД получены на основании анализа фактов нарушений регламентных сроков подготовки и сдачи достоверной бухгалтерской и управленческой отчетности.

Значения весовых коэффициентов могут быть уточнены при разработке внутренних стандартов аудиторских организаций исходя из практического опыта планирования проверок для предприятий различных отраслей и масштабов деятельности.

Рассмотрим на конкретном примере, как величина ККОД влияет на итоговую оценку риска средств контроля и как значение ККОД изменяется в результате внедрения аудируемым экономическим субъектом современных информационных технологий.

Пример. Предприятие А (сфера деятельности - мелкосерийное производство, выполнение научно-исследовательских и опытно-конструкторских работ) имеет бухгалтерию в составе 8 человек. Все рабочие места бухгалтеров компьютеризированы. Используемая программа автоматизации учета - "1С:Предприятие 7.7", предприятие А зарегистрировано как пользователь.

В результате оценки по предлагаемой методике критериев качества системы бухгалтерского учета, контрольной среды и основных средств контроля были получены следующие значения:

КСБУ = 0,869;

ККС = 0,574;

КСК = 0,755.

Относительно низкая оценка качества контрольной среды обусловлена тем, что руководство предприятия не уделяло должного внимания организации управленческого учета, на предприятии отсутствовала структура, выполняющая функции независимого внутреннего контроля, функции внутреннего контролера были возложены на главного бухгалтера. Оценка качества среды КОД, произведенная нами, приведена в табл.4. Курсивом в таблице выделены примечания, описывающие ситуацию, имеющую место на предприятии.

Таблица 4

Оценка для предприятия А

Наименование изучаемого фактора	Наличие средства контроля	Оценка	Весовой коэффи- циент
1. Наличие инструкций и правил работы с программными средства- ми			А1 = 1,2
1.1. Наличие регламентов работы с программными средствами Регламенты не разработаны	Да - 1,2 балла Частично - 1 балл Отсутствуют - 0,8 балла	0,8
1.2. Закрепление контрольных функ- ций при работе в среде КОД для каждого сотрудника в инструкциях для автоматизированных рабочих мест Должностные инструкции отсутствуют	Да - 1,2 балла Частично - 1 балл Отсутствуют - 0,8 балла	0,8
1.3. Наличие документация разра- ботчика на программный продукт Имеется полный пакет документации	Да - 1,2 балла Частично - 1 балл Отсутствуют - 0,8 балла	1,2
Итоговый балл по п.1 (1.1 + 1.2 + 1.3)/3		0,933
2. Соответствие используемых программных средств требованиям к современным информационным системам			А2 = 1,2
2.1. Наличие единой информационной системы предприятия Внедрены тиражные программы авто- матизации учета	Внедрена КИС - 1,2 балла Автоматизация с ис- пользованием прог- раммных средств раз- личных разработчиков - 1 балл Автоматизированы от- дельные участки бух- галтерского учета ручной учет - 0,8 балла	1
2.2. Архитектура сети Имеется локальная сеть бухгалтерия + склады	Архитектура клиент- сервер - 1,2 балла Архитектура файл- сервер - 1 балл Нет сети, передача данных через дискеты и т.п.- 0,8 балла	1,2
2.3. Возможность ведения мультива- лютного учета Ведется мультивалютный учет	Да - 1,2 балла Нет - 0,8 балла	1,2
2.4. Для настройки программы не требуется специальная подготовка в области программирования Настройки могут выполняться "прод- винутыми" пользователями	Да - 1,2 балла Нет - 0,8 балла	1,2
2.5. Возможность ведения много- уровневого аналитического учета Возможности имеются и используется	Да - 1,2 балла Нет - 0,8 балла	1,2
2.6. Возможность использования нескольких планов счетов Используется параллельный план счетов для организации налогового учета	Да - 1,2 балла Нет - 0,8 балла	1,2
Итоговый балл по п.2 (2.1 + 2.2 + + 2.3 +2.4 + 2.5 +2.6)/6		1,167
3. Наличие средств обеспечения информационной безопасности			А3 = 0,8
3.1. Лицензионная чистота исполь- программных средств Да, программы были приобретены официально	Да - 1,2 балла Пиратские копии - 1 балл Программы собствен- ной разработки - 0,8 балла	1,2
3.2. Ограничение прав и полномочий пользователей Выполнены настройки для каждого автоматизированного рабочего места определены права доступа и уста- новлены пароли	Да - 1,2 балла Частично, формально - 1 балл Нет - 0,8 балла	1,2
3.3. Использование средств защиты от вирусов и хакерства Функции контроля за информационной безопасностью возложены на имеюще- гося в штате предприятия админист- ратора сети	Да, регулярно - 1,2 балла Нерегулярно - 1 балл Нет - 0,8 балла	1,2
Итоговый балл по п.3 (3.1 + 3.2 + 3.3)/3		1,2
4. Сопровождение и поддержка программных средств			А4 = 0,8
4.1. Наличие в штате предприятия специалистов в области компьютер- ных технологий Специалист имеется в штате пред- приятия	Имеется в штате - 1,2 балла Привлекается по мере необходимости - 1 балл Нет - 0,8 балла	1,2
4.2. Осуществление настройки, соп- ровождения и модернизации програм- мных средств с привлечением фран- чайзинговых фирм или фирм-разра- ботчиков Заключен договор с франчайзинговой фирмой	Да, постоянно - 1,2 балла Эпизодически - 1 балл Нет - 0,8 балла	1,2
4.3. Проведение подготовки и обу- чения пользователей Первоначальное обучение проводится при поступлении на работу, в даль- нейшем сотрудники совершенствуют навыки самостоятельно	Да, имеется система подготовки пользова- телей - 1,2 балла Эпизодически, бес- системно - 1 балл Нет - 0,8 балла	1
Итоговый балл по п.4 (4.1 + 4.2 + 4.3)/3		1,133
5. Наличие специальных средств контроля			А5=1
5.1. Визирование вводимой в систе- му информация Установлен и соблюдается порядок визирования документов	Постоянно - 1,2 бал- ла Нерегулярно - 1 балл Нет - 0,8 балла	1,2
5.2. Регулярная архивация данных на устройствах долговременного хранения информации Дважды в неделю осуществляется ко- копирование баз данных на устрой- ства долговременного хранения ин- формации	Постоянно - 1,2 бал- ла Нерегулярно - 1 балл Нет - 0,8 балла	1,2
5.3. Регулярный вывод регистров бухгалтерского учета по окончании отчетного периода на бумажный но- ситель По окончании квартала распечатыва- ются карточки счетов, оборотно- сальдовые ведомости по счетам, складские карточки	Постоянно - 1,2 бал- ла Нерегулярно - 1 балл Нет - 0,8 балла	1,2
5.4. Авторизация распечатанных ре- гистров бухгалтерского учета Все распечатанные регистры учета подписываются бухгалтером, ведущим учет на данном участке, и датиру- ются	Постоянно и в полном объеме - 1,2 балла Нерегулярно или в неполном объеме - 1 балл Нет - 0,8 балла	1,2
Итоговый балл по п.5 (5.1 + 5.2 + 5.3 + 5.4)/4		1,2
Значение ККОД		1,117

Расчетное значение коэффициента качества системы внутреннего контроля составляет (0,869 + 0,574 + 0,755) х 1,117 = 2,587. Данному значению КСВК соответствует низкий риск контроля (см. табл.1). Следует отметить, что сумма величин КСБУ, КСС и КСК равна 2,198, этому значению соответствует приемлемый риск контроля (при значении КСВК, равном 1). Таким образом, высокое качество среды КОД привело к снижению риска контроля на одну градацию и компенсировало перечисленные выше недостатки контрольной среды. При проверке предприятия А аудитором не были выявлены ошибки, возникновение или не обнаружение которых средствами внутреннего контроля было бы связано с наличием среды КОД.

Е.В. Кузнецова,

финансовый директор ООО "Алианта Групп"

"Аудиторские ведомости", N 2, февраль 2004 г.