Что такое аудит информационных систем

удит информационных систем - термин для нас сравнительно новый. Поэтому, прежде чем обратиться к этому понятию, вспомним определения более традиционных видов аудита. При слове «аудит» мы прежде всего представляем проверку финансовой деятельности компаний аудитором. Различают частный аудит и аудит по закону. Частный аудит проводится по запросу, то есть любая фирма может пригласить частного аудитора для проверки своей финансовой деятельности. Аудит по закону - это юридически обоснованная мера. Например, банк, выдающий кредит какой-либо фирме, может потребовать отчета независимого аудитора о финансовом состоянии этой фирмы. Среди наиболее распространенных видов аудита - банковский аудит, то есть комплексная проверка или экспертиза результатов финансово-хозяйственной деятельности банков.

В последнее время функции аудита все больше выходят за рамки проверки финансовой деятельности компании. В обязанность внешних аудиторов входят новые виды экспертизы. Например, операционный аудит предполагает консультирование компании по вопросам управления, оценку эффективности маркетинга, оценку заключенных договоров с точки зрения юридических требований и т.д.

Сегодня ни одно производство, ни одна компания не обходится без информационной системы, причем объектом и результатом труда всего коллектива сотрудников фирм самого разного профиля становится информация. Любая компания ежедневно производит множество самой разнообразной информации. Для эффективного использования информации в организации должны быть внедрены корпоративные стандарты оформления документов, системы коллективной работы, системы документооборота и т.д. Ответ на вопрос, насколько грамотно спланированы все звенья этой работы, и должен дать аудит информационной системы.

Информационные системы стоят больших денег, но попытки сэкономить на грамотном проектировании информационных систем приводят к фатальным результатам.

По данным Gartner Group, средняя компания теряет 2-3% дохода в течение 10 дней после сбоя в работе ИС. На полное восстановление сбоя сети уходит 4,8 дня, после чего компания выходит на прежний уровень рентабельности. Однако 50% компаний, которые не смогли восстановить функциональность в течение этих 10 дней, никогда не выходят на прежний уровень рентабельности, а 93% компаний, игнорирующих планы быстрого восстановления и резервирования данных, в течение 5 лет прекращают свое существование.

Отсутствие стандартов построения и долгосрочных планов развития ИС грозит многим предприятиям огромными финансовыми потерями. ИС требует наличия высокопрофессиональных специалистов, но узкая специализация, в свою очередь, порождает проблемы. Большинство из них возникает именно на стыке технических и управленческих аспектов. Аудит информационных систем как раз и направлен на поиск узких мест, возможных сбоев в работе ИС, а главное - на выяснение причин возникновения этих сбоев.

Таким образом, аудит ИС - это комплексный процесс анализа данных о текущем состоянии информационной системы предприятия, о действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию. Этот процесс завершается предоставлением отчетов, отражающих полную картину ИС руководству.

Аудит информационных систем в России

роблематика аудита информационных систем в последнее время все чаще является предметом обсуждения не только специалистов по информационным технологиям, но и широкого круга управленцев, а также клиентов крупных компаний. Особенно остро проблема оптимизации ИС стоит в России, где многие информационные системы развивались стихийно.

Сбои информационной системы возникают в наиболее напряженные, а значит, и в наиболее ответственные моменты. В настоящее время вопросы аудита информационных систем - это уже вопросы доверия той или иной компании. От того, насколько надежно выстроена в компании информационная система, зависит ее привлекательность для потенциальных клиентов.

В России практически нет специалистов в области аудита ИС, а услуги западных компаний весьма дороги. Восполнить данный пробел на российском рынке взялась компания «Микроинформ», которая с сентября этого года начала проводить курсы в области аудита информационных систем. Для того чтобы ознакомить широкую общественность и журналистов с данной деятельностью, 10 сентября «Микроинформ» и MIS Training Institute (мировой лидер в области подготовки специалистов по IT-аудиту) провели бесплатный семинар «Аудит информационных систем: состояние, проблемы, подготовка специалистов», на котором удалось побывать автору данной статьи.

Генеральный директор «Микроинформ» Б.М.Фридман проинформировал участников о старте в России новой образовательной программы международного уровня по аудиту информационных систем от MIS Training Institute.

Компания MIS Training Institute создана в 1978 году. Основные направления ее деятельности - подготовка специалистов в области информационной безопасности и информационного аудита. По данной тематике MIS Training Institute предлагает около 90 различных курсов. Заказчиками MIS Training Institute являются ведущие мировые компании и банки: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson&Johnson, Chase Manhattan Bank и многие другие. MIS Training Institute является организатором крупнейших международных конференций по проблемам информационной безопасности.

Учебный Центр «Микроинформ» (Сертифицированный Партнер и представитель в России MIS Training Institute) впервые проводит в России комплексную программу международного уровня по подготовке специалистов аудита информационных систем.

Данные программы являются развитием сотрудничества этих компаний, начатого летом минувшего года. Проведенные в течение 2001-2002 годов в «Микроинформ» сертификационные программы MIS Training Institute для специалистов по информационной безопасности вызвали большой интерес у ведущих российских и иностранных компаний.

В качестве пилотной была выбрана программа IT Audit School («Школа аудита информационных систем»), которая закладывает основу профессиональной квалификации аудитора международного уровня. Курс проводился в Москве 9-13 сентября и собрал много желающих, несмотря на достаточно высокие цены (день обучения - 500 долл.) Курс является базовым для аудиторов информационных систем, а также предназначен для финансовых аудиторов, сотрудников служб внутреннего контроля и аудита, внешних аудиторов.

В ходе этой интенсивной пятидневной программы рассматривались следующие вопросы:

• идентификация бизнес-рисков, связанных с информационными системами (ИС), и их минимизация;
• вопросы, касающиеся инфраструктуры ИС, включая аппаратные средства и операционные системы, процесс трансляции и анализ рисков;
• среда контроля ИС (информационная безопасность, организация и управление ИС, сопровождение и поддержка систем);
• необходимые знания о базах данных, распределенных системах, сетях, Интернете и электронной коммерции.

Доклад MIS Training Institute по вопросам аудита информационных систем

а семинаре выступил Фрэд Рот - ведущий инструктор MIS Training Institute по тематике аудита информационных систем. В своем докладе г-н Рот привел краткий обзор состояния данной проблемы в мире, остановился на основных направлениях работ в этой области, уделил особое внимание вопросам подготовки специалистов по аудиту информационных систем в России.

Со ссылкой на опрос Infoworld IT Security Survey г-н Рот привел данные (рис. 1), свидетельствующие о том, что развитие ИС в мире в существенной мере тормозится именно опасениями в связи с недостаточной безопасностью информационных технологий. Цифры показывают, что более всего респонденты обеспокоены недостаточной безопасностью, связанной с Web-сервисами, с передачей информации по беспроводным каналам и с электронной коммерцией (B2B и B2C). Безопасность систем класса Entrprise Applications (здесь речь идет прежде всего о продуктах таких компаний, как SAP, People Soft, BAAN) вызывает беспокойство только 7% опрошенных, причем следует подчеркнуть, что наличие подобных систем существенно упрощает проведение ИС-аудита. Говоря о соотношении опасений и реальных случаев возникновения проблем в ИС по причине их недостаточной безопасности, Фрэд Рот привел соответствующие данные (рис. 2). Информационные системы большинства компаний сталкиваются с внедрением вирусов.

В докладе г-на Рота были также приведены данные о тех мероприятиях, которые планируются компаниями, принявшими участие в опросе Infoworld IT Security Survey, по увеличению безопасности ИС (рис. 3). Более половины компаний связывают меры по усилению безопасности своих ИС с внедрением виртуальных частных сетей, а 37% опрошенных собираются прибегнуть к консалтингу и обучению своих специалистов. Последние цифры свидетельствуют о потенциально высокой актуальности аудита ИС, так как постоянное проведение аудита гарантирует стабильность функционирования информационных систем.

В докладе были изложены основные понятия аудита ИС и принципы его проведения. Докладчик остановился на вопросах структуры аудита ИС (рис. 4). Вопросы финансового аудита и аудита ИС смыкаются в области решения проблем оптимизации работы приложений ИС. Помимо вопросов безопасности проведение аудита ИС поможет решить ряд важных задач: определить соответствие существующей ИС целям и задачам бизнеса, вычислить оптимальность инвестиций в ИС, снизить расходы на обслуживание.

Процесс аудита информационных систем можно представить в виде своеобразных весов (рис. 5), где на одной чаше рассматриваются системы безопасности доступа, на другой - контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в компании.

Основные направления контроля при аудите ИС включают изучение корпоративных стандартов, анализ рабочих процессов компании, анализ схемы сети и сетевого трафика в различных сегментах сети, анализ бизнес-процессов и целый круг других вопросов (рис. 6).

После проведения аудита ИС заказчик получает информацию об источниках и величине потерь организации. Аудит позволяет определить эффективность корпоративных стандартов, найти пути их улучшения, оценить величину затрат на внедрение и поддержание более эффективных корпоративных стандартов и выявить эффективность их применения. Эта информация позволяет определить причины и источники возникновения сбоев и наладить процессы поддержки так, чтобы возникающие сбои были легко устраняемы. По результатам аудита ИС могут быть разработаны и корпоративные стандарты, внедрение которых значительно повышает надежность функционирования информационных систем.

КомпьютерПресс 11"2002

Новые информационные технологии в последние годы начинают применяться в аудиторской деятельности. Компьютер становится инструментом аудитора, позволяющим ему не только сократить время и средства для проведения аудита, но и провести более детальную проверку и составить качественное аудиторское заключение с рекомендациями по стратегии, направлениям и средствам улучшения финансово-хозяйственного положения предприятия.

Автоматизация бухгалтерского учета и других управленческих функций предприятия, с одной стороны, и автоматизация аудита, с другой, в корне меняют проведение аудита на конкретном объекте. Стали различать аудит вне компьютерной среды, т.е. на объекте с традиционной технологией ручного ведения учета, и аудит в компьютерной среде – на объекте, где бухгалтерский учет выполняется с использованием компьютеров. Сам аудит может также проводиться без использования компьютеров и с их помощью.

Проведение аудита в компьютерной среде имеет ряд отличий, вытекающих из особенностей компьютерной обработки данных. Основные принципы самого аудита здесь не меняются. Сохраняются его цели, задачи, действуют общепринятые стандарты. В то же время международные нормативы аудита требуют от аудитора, проводящего проверку в компьютерной среде, иметь представление о техническом и программном обеспечении компьютеров, а также о системах обработки данных.

Аудитор должен принять во внимание особенности организации и ведения компьютерного учета. Он должен учесть, что данные хранятся в базах данных, что база данных бухгалтерских проводок является основой для получения по запросу любого учетного регистра и в любой последовательности. База данных в компьютерных системах учета может быть децентрализована, частично или полностью централизована. В многопользовательском режиме по-разному реализуется интеграция данных для составления отчетности. Ряд операций, таких как начисление процентов, закрытие счетов, определение финансового результата, может инициироваться компьютером и, следовательно, по ним отсутствуют какие-либо санкционирующие их документы. Ошибка, заложенная в алгоритм расчета и примененная многократно к повторяющимся хозяйственным операциям, может исказить результат хозяйственной деятельности. Баланс, например, может сходиться в рублях и не сходиться в тысячах рублей из-за ошибки в округлении. В системах компьютерного учета, как правило, заложен контроль процедур ввода, обработки и вывода данных. Компьютерные системы более открыты для доступа к данным, поэтому в каждой их них четко разграничиваются полномочия и права доступа к информации, а также введена система защиты и контроля от несанкционированного доступа.

Только перечисление этих, далеко не полных особенностей автоматизированного ведения учета, подчеркивает, что на первом этапе любой аудиторской проверки существенное место должно быть отведено изучению системы компьютерного учета, так как она играет основную роль в осуществлении контрольных функций. При этом следует изучить уровень автоматизации каждой из задач бухгалтерского учета, методы обработки данных, доступность данных, определение мест наиболее вероятного возникновения ошибок и рассмотреть процедуры их выявления и устранения.

Аудитор должен выявить слабые места контроля системы компьютерного учета. Следует рассмотреть как аппаратные, так и программные средства контроля. В многопользовательских сетевых системах объектом внимания должен быть контроль передачи данных, средства контроля доступа к данным. Столь пристальное внимание аудитора к вопросам контроля в компьютерной среде объясняется тем, что он не в состоянии проконтролировать все аспекты деятельности организации и потому часть задач может быть возложена на внутрифирменный контроль. Однако для этого следует оценить риск неэффективности системы внутреннего контроля и определить общий риск аудиторской проверки. Лишь после этого аудитор может установить набор и глубину аудиторских процедур, которые предстоит выполнить на проверяемом объекте.

Аудиторская проверка, как было сказано выше, может быть выполнена без компьютера и с его использованием. Аудиторские инструменты в последнем варианте подразделяются на аудиторские программы и проверочные данные, которые вводятся в систему обработки в целях сопоставления полученных данных с предварительно установленными.

Список задач выполняемых аудиторскими программами достаточно широк. Они выполняют проверку и анализ записей на основе критериев их качества, полноты, состоятельности и правильности; тестируют выполнение расчетов; сопоставляют данные различных файлов в целях выявления несопоставимых данных; при проведении выборочного аудита с их помощью можно получить представительную выборку; они незаменимы как способ доступа к данным, которые хранятся только в машинной форме, позволяют быстро производить упорядочение, группировку, переформатирование данных.

Программное обеспечение для проведения аудиторских проверок представлено двумя видами программ: пакетные программы и целевые программы. Пакетные программы – это комплекс программ общего назначения, обеспечивающих выполнение широкого спектра функций обработки и анализа данных, включая подготовку и печать отчетов. С помощью программ пакета возможно создать имитационную модель обработки данных, способную реагировать на все предусмотренные аудитором варианты ошибок. Целевые программы составляются для выполнения аудиторских заданий в определенных ситуациях. Эти программы подготавливаются аудиторамиили организацией-клиентом по согласованию с аудиторской фирмой.

Поскольку достаточно часто проводится выборочный аудит, то в аудиторских программах реализуются статистические методы. Функции регрессионного анализа, анализа временных рядов, сглаживания введены в табличные процессоры (Excel, Lotus 1-2-3 и др.) и именно это сделало их столь популярными среди аудиторов. Однако при проведении достаточно сложных расчетов аудиторами используются специализированные статистические пакеты общего назначения. Они реализуют набор различных статистических методов, позволяют выполнять обмен с наиболее распространенными СУБД, имеют возможность графического представления данных, удобный для пользователя интерфейс. В настоящее время наиболее популярны из них Mathematics, Statistics, Quick, Statgraphics.

Для внешнего и внутреннего аудита достаточно широко используются системы автоматизации финансового анализа.

В аудите используются также текстовые редакторы, справочно-правовые базы данных, программы управления электронным документооборотом, бухгалтерские программы и их отдельные модули.

В настоящее время некоторыми аудиторскими фирмами разрабатываются специальные информационные системы, ориентированные на внутреннюю регламентацию аудиторской деятельности с применением внутрифирменных стандартов. Рассмотрим их возможности на примере системы "Ассистент Аудитора", разработанной фирмой "Сервис-Аудит".

Система "Ассистент Аудитора" фирмы "Сервис-Аудит". Данная разработка представляет собой профессиональную информационно-справочную систему, интегрируемую в информационно-поисковую систему (ИПС) "Кодекс". Она предназначена для аудиторских фирм, частнопрактикующих аудиторов, а также фирм и предприятий, стремящихся повысить эффективность работы служб внутреннего аудита и финансово-экономических служб. За счет интеграции в ИПС "Кодекс", "Ассистент Аудитора" позволяет проводить поиск необходимых материалов всеми возможными методами, которые в ней реализован (тематический поиск, контекстный поиск, поиск по наименованию, виду и типу документа и т.д.).

Система "Ассистент аудитора" позволяет систематизировать выполнение аудиторских процедур, начиная с предварительного изучения клиента и заканчивая оформлением аудиторского заключения, сформировать ряд рабочих документов необходимых для документирования аудита, что позволяет осуществлять эффективный контроль качества аудиторских проверок, а также обеспечить аудитора (бухгалтера, экономиста) справочным материалом по широкому спектру вопросов бухгалтерского учета, налогообложения и финансового анализа.

Система состоит из четырех условно независимых тематических разделов.

Раздел "Планы и программы аудита" содержит бланки документов, которые следует формировать до того, как подписан договор на проведение аудита, образцы договоров на различные виды аудиторских услуг, бланки и образцы документов, формируемых на этапе планирования аудиторской проверки и составления программы аудита, а также методические материалы, которые могут использоваться для разработки внутрифирменных стандартов аудиторской фирмы. Анкеты-вопросники, входящие в этот раздел, могут использоваться не только аудиторскими фирмами. Используя их, службы внутреннего аудита или финансово-экономические службы предприятия могут провести тестирование системы внутреннего контроля и организации бухгалтерского учета.

Раздел "Рабочие документы аудитора" содержит анкеты-вопросники по различным участкам бухгалтерского учета. Они призваны помочь при выполнении аудиторских процедуры и тестировании отдельных разделов бухгалтерского учета на предприятии. Также в этот раздел включены методические материалы, призванные помочь в подготовке и оформлении заключения по итогам аудиторской проверки.

Раздел "Консультант аудитора" содержит справочные таблицы по вопросам бухгалтерского учета, налогообложения, финансового анализа деятельности предприятий, а также оформленные в виде таблиц нормативы, ставки, индексы, используемые для расчетов показателей отдельных хозяйственных операций, сумм налогов.

Раздел "Основные нормативные документы" носит справочный характер и включает основные законодательные и нормативные ведомственные акты, регулирующие аудиторскую деятельность и порядок ведения бухгалтерского учета.

Базы данных системы "Ассистент Аудитора" представляют собой набор аудиторских процедур, оформленных в виде анкет-вопросников, бланков, рабочих карт, методик, справочных таблиц. Большая часть документов, включенных в базы данных, является оригинальными авторскими разработками, созданными специалистами с большим практическим опытом аудита. Информационные ресурсы ИС "Ассистент Аудитора" постоянно пополняются, обновляются, актуализируются в соответствии с изменениями в законодательной и нормативной базе по аудиту и бухгалтерскому учету.

Вопросы для самоконтроля

1. Раскройте обособленности проведения аудита в среде компьютерного ведения бухгалтерского учета.

2. Как подразделяется аудиторские инструменты при проведении аудиторских проверок с использованием программных средств?

3. Перечислите некоторые из задач, которые могут быть выполнены аудиторскими программами.

4. Какие виды программ используются при проведении аудиторских проверок?

5. Приведите пример специализированной системы автоматизации аудита и дайте ее характеристику.

Известно, что зачастую внедренные на предприятии информационные технологии с самого начала остаются или становятся со временем "тайной за семью печатями" и для руководителей компании, и для сотрудников, и особенно для сторонних, но отнюдь не менее заинтересованных лиц - клиентов, инвесторов, партнеров. Конечно же, это не прибавляет доверия к компании, не гарантирует безопасности ее бизнеса, не способствует привлечению клиентов и инвесторов. ИТ-аудит - один из механизмов, позволяющих "пролить свет" на истинное положение дел в компании, оптимизировать работу информационных систем и, следовательно, бизнес в целом.

Основная цель IT аудита -- это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.

Мы предлагаем провести в Вашей компании IT аудит, который может состоять из следующих работ:

Для определения состава работ IT аудита, сроков проведения и стоимости работ рекомендуется провести IT-диагностику. Диагностика проводится в течение 3-5ти рабочих дней. В ходе диагностики собирается информация, необходимая для выявления ключевых проблем в области IT. На основании этой информации разрабатываются детальные предложения о проведении IT аудита в компании.

Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.

В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.

Аудит ИС направлен на достижение следующих целей:

• Сокращение затрат на сопровождение и развитие IT-инфраструктуры
• Сокращение затрат на выполнение автоматизируемых бизнес-операций
• Повышение эффективности работы ИС
• Повышение эффективности вложений в ИС компании

В рамках аудита ИС выполняются следующие работы:

• Анализ соотсветсвия возможностей и стратегии ИС стратегии компании, бизнес-целям и бизнес-процессам
• Анализ существующих IT-сервисов и поддерживающих их информационных систем (программных продуктов)
• Определение проблемных мест существующей IT-инфраструктуры:
  • уровень соответствия информационной системы бизнес-требованиям
  • стоимость сопровождения и развития ИС
  • соответствие IT-процессов стандартам ISO 9000
  • уровень обеспечения информационной безопасности
• Выработка рекомендаций по улучшению IT-инфраструктуры:
  • оценка стоимости выполнения каждой рекомендации;
  • план выполнения рекомендаций.
  • рекомендации по реинжинирингу IT-инфраструктуры.

В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.

В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.

Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.

Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.

Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.

Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.

На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.

Возможности дальнейшего сотрудничества

Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:

• Разработка IT стратегии
• Разработка Концепции информационной системы, в том числе разработка экономического обоснования оптимизации/развития IT
• Оптимизация/развитие информационной системы (ИС), включающая в себя:
  • Разработка Технического задания на доработку/создание существующих/ недостающих подсистем/модулей ИС
  • Выбор программных систем (вендоров) для КИС
  • Организация и управление проектом оптимизации ИС
  • Разработка методической/сопроводительной документации
  • Разработка/внедрение доработанных/новых подсистем/модулей ИС
  • Подготовка и обучение персонала. Консультации персонала
• Мониторинг и сопровождение эксплуатации ИС

Основным содержанием аудиторской деятельности, особенно про­ведения аудита, является работа с большими информационными массивами, имеющими форму как бумажных документов, так и элек­тронных баз данных. Поэтому использование персональных компь­ютеров (ПК) в этой деятельности является естественным ходом прогресса в области информационных технологий.

Применению ПК и современных информационных технологий в аудиторской деятельности посвящены не только научные публи­кации, но и стандарты аудиторской деятельности.

В системе российски правил (стандартов) эти вопросы нашли отражение в трех стандартах: «Аудит в условиях компьютерной об­работки данных», Проведе ие аудита с помощью компьютеров», «Оценка риска и внутренний контроль; характеристика и учет сре­ды компьютерной и информационной систем». Из приведенного списка российских стандартов видно, что для российских аудиторов разработаны наиболее существенные из стандартов, имеющих от­ношение к компьютеризации аудита. Российские правила (стандарты) ориентированы на прогрессивные компьютерные информационные системы, они учитывают специфику российского бухгалтерского учета и аудита. Эти стандарты до сих пор дополняют такие феде- р@ льные прав ила (стандарты) аудиторской деятельности (ФПСАД), как «Планирование аудита», «Документирование аудита», «Понима­ние деятельности аудируемого лица, среды, в которой она осущест­вляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности».

в действующих в настоящее время ФПСАД, приш дших на смену российским, отдельных стандартов, посвященных примене­нию ПК в аудите, нет, поэтому основные положения упомянутых

российских стандартов не потеряли своей актуальности и сейчас. Поскольку применение компьютеров в аудите - объективно сущест­вующая реальность, в федеральных стандартах также в том или ином контексте упоминаются и компьютерные информационные системы бухгалтерского учета, и методы аудита с помощью компьютеров.

И российские и федеральные стандарты ориентиров.ты та бо­лее эффективное достижение цели аудита и описание особенностей реализации основных принципов и методов аудита в современных условиях.

Использование компьютеров и информационных технологий характерно как для аудируемых лиц, так и для аудиторских органи­заций и индивидуальных аудиторов.

Общие положения о компонентах компьютерного аудита, ос­новных понятиях и подходах к его организации раскрыты в первом и втором правилах (стандартах) из перечисленных выше. Эти два стандарта тесно взаимосвязаны. При этом первый имеет большее отношение к аудируемым лицам, а второй - непосредственно к аудиторам и аудиторским организациям.

В настоящее время сложились благоприятные условия, когда и аудируемое лицо, и аудитор располагают и используют ПК. Од­нако само по себе наличие персональных компьютеров в бухгалте­рии аудируемого лица или у аудитора еще не является достаточным поводом считать, что бухгалтерский учет или аудит ведутся в усло­виях системы компьютерной оь, аботки данных (КОД). Важно, что­бы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления, т.е чтобы в процессе учета большие объемы учетной информации обрабатывались с использованием ПК. Компьютерная обработка имеет место в случаях, когда с помощью компьютерной техники осуществляется обработка значительных объемов учетной информации неза исимо от следующих факторов:

1) компьютер используется экономическим субъектом самостоя­тельно или п о дот о ору с третьей стороной;

2) компьютер используется экономическим субъектом для обра­ботки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, отдельным участкам учета.

Аналогична и оценка степени компьютеризации аудиторской д ятельности. В аудиторских организациях и у индивидуальных @уди- торов ПК могут использоваться не только для автоматизации управленческих работ, но и для проведения аудита у экономических субъектов. При этом понятие «использование ПК в аудите» весьма общее и может включать следующие направления использования (табл. 12.1).

Таблица 12.1 Варианты использования ПК в аудиторской деятельности " ариант Виды выполняемых работ с использованием компыь. "па I Выполнение таких функций управления хозяйствующим субъектом, как учет, планирование, анализ и т.д. II Выполнение расчетов, печать типовых форм аудиторских докумен­тов, опросных листов, анкет, планов, программ, отчетов и др. III Использование нормативно-правовой справочной базы в электрон­ном виде (системы «Гарант», «Кодекс», «КонсультантПлюс» и др.) IV Выполнение аудиторских процедур по тестированию надежности системы внутреннего контроля и достоверности остатков (сальдо) и результатов учета однотипных хозяйственных операций (оборо­тов) по счетам бухгалтерского учета V Составление альтернативного баланса и необходимых регистров учета, форма отчетности VI Выполнение аналитических процедур и расчетов VII Выполнение услуг сопу ствующих и связанных с аудитом

В федеральном стандарте аудиторской деятельности № 8 отме­чено, что аудиторы особое внимание уделяют анализу надежности автоматизированных систем бухгалтерского учета и внутреннего контроля и оценке риска существенных искажений бухгалтерской (финансовой) отчетности, источниками которого являются недостат­ки этих систем. При планировании и проведении аудита с приме­нением ПК выявление и оценка риска существенных искажений и его составляющих, присущих автоматизированным информаци­онным системам, используемым в учете, имеют большое значение.

Аудитор "кая деятельность представляет собой информационную систему, т@к к@ " ь лючает три ее основных компонента:

1) информацию как предмет и продукт труда;

2) средства, методы и способы переработки информации;

3) персонал, который реализует информационный процесс.

Автоматизация аудиторской деятельности стала возможной бла­годаря сложившимся предпосылкам.

1. Высокий уровень развитил средств вычислительной техники, средс "в коммуникации и информационных технологий. Прим енение персональных компьютеров и информационных технологий позво­ляет не только выполнять рутинные операции по формированию аудиторской документации, по поиску и использованию положений законодательных и нормативных актов, но и решать более сложные задачи, связанные с анализом систем бухгалтерского учета и внутрен­него контроля, расчетами экономических показателей, реализацией различных запросов к базе данных, создаваемой в автоматизирован­ной системе бухгалтерского учета (АСБУ), выработать рекомендации по стратегии улучшения финансово-хозяйственной деятельности.

2. Автоматизация бухгалтерского учета. В процессе работы АСБУ формируется информация о хозяйственной деятельности экономи­ческого субъекта в форме электронной базы данных, анализ кото­рой возможен с применением компьютера.

3. Математические методы экономического ана ‘за. Сущест­вующий математический аппарат анализа финансово-хозяйствен­ного состояния экономического субъекта позволяет разработать и реа­лизовать автоматизированные системы анализа.

4. Высокоразвитые информационно-справочные системы. Компью­тер позволяет получить любые необходимые справки в области за­конодательства, нормативных актов и использовать их содержание при обосновании аудиторских выводов и формировании аудитор­ской документации.

5. Удобные системы для работы с различными редактируемыми текстами. Применение этих систем помогает аудитору в фор­мировании документации с использованием информации, получае­мой одновременно из разных баз данных.

В настоящее время на рынке информационных технологий уже появились пакеты прикладных программ, позволяющие использо­вать компьютеры в работе аудиторов и создавать комплексные сис­темы автоматизации аудиторской деятельности (СААД).

Задачи аудитор ской дея -льности отражаются в функциональ­ной структуре СААД, а факторами или условиями ее работы, вы­полнения предусмотренных задач являются информационное, техни­ческое, математическое, программное, технологическое, организаци­онное, правовое и эргономическое обеспечение. Информационное обеспечение представляет собой совокупность данных, размещенных на бумажных и машинных носителях в соответствии с определен­ными правилами хранения. Оно также включает методы и средства построения информационного фонда системы, организацию его функционирования и использования. Особенностью информацион­ного обеспечения СААД является наличие двух составляющих: ин­формации, получаемой от аудируемого лица в форме документации и копий баз данных, с одной стороны, и информационно-спра­вочной системы, библиотеки аудиторской документации, специфи­ческих справочников, используемых аудиторскими организациями и индивидуальными аудиторами в управлении и при выполнении аудита и услуг, связанных и сопутствующих аудиту, - с другой.

Техническое обеспечение предполагает комплекс вычислительной и орга­низационной техники, средства обработки, передачи и вывода ин­формации. В практике аудита возможно использование аудиторами как ПК, предоставляемых аудируемым лицом, так и собственных ПК аудиторской организации. Математическое обеспечение пред­ставляет совокупность алгоритмов, обеспечивающих ввод, кон­троль, хранение, корректировку информации, формирование ре­зультативной информации, обеспечение ее защиты. Кроме того, математическое обеспечение включает различные алгоритмы расче­та учетных и отчетных показателей. Состав алгоритмов определяет­ся функциональной структурой СААД. Программное обеспечение включает операционную систему и пакеты прикладных программ, реализующих алгоритмы обработки информации в СААД. Техноло­гическое обеспечение представляет описание те «.нологии обработки информации (ввода, преобразования, вывода, хранения, защиты информации). Организационное обе^печ, ние - . то комплекс мето­дов и средств, регламентирующих работу специалистов, выпол­няющих всю работу по обработке информации. Оно также опреде­ляет взаимосвязь специалистов разных подразделений. Правовое обеспечение - комплекс документ,в, оп ределяющих права и обя­занности специалистов, участвующих в процессе работы системы. Эргономическое обеспечение - комплекс мероприятий по организа­ции удобных рабочих мест, обеспечивающих эффективность и ком­форт в работе специалистов.

Основу для разработки любой информационной системы со­ставляет ее функциональная структура, которая представляет собой декомпозицию цел й систе1 ы до уровня решаемых задач. Функ­циональная структура СААД должна отражать задачи управления аудиторской организацией как хозяйствующим субъектом (эти за­дачи в данном курсе не рассматриваются, так как они практически не отличаются от описанных в теории управления) и два основных направления аудиторской деятельности: собственно аудит и услуги, сопутствующие и связанные с аудитом.

Собственно аудит состоит из последовательного выполнения комплексов работ, осуществляемых в несколько этапов:

Предварительное ознакомление с особенностями экономиче­ского субъекта, заключение договора о проведении аудита;

Анализ организации бухгалтерского учета и системы внутреннего контроля, оценка риска существенных искажений и его состав­ляющих, расчет общего и частных уровней существенности;

Составление общего плана и программы аудита, составление заданий исполнителям;

Тестирование надежности систем бухгалтерского учета и внут­реннего контроля, выполнение аудиторских процедур по су­ществу и аналитических аудиторских процедур;

Введение

Реформирование российской экономики обусловило необходимость создания и развития новых экономических институтов, регулирующих взаимоотношения различных субъектов предпринимательской деятельности, среди которых достойное место должен занять институт аудита, являющийся неотъемлемой частью рыночных отношений. Опыт становления и развития российского аудита показал невозможность прямого переноса методологии развитых капиталистических стран на реорганизуемую экономику постсоветского периода. Поэтому в настоящее время идет активная работа над созданием концепции развития аудита и в целом аудиторской деятельности для условий России.

Основными целями создания данной концепции является построение модели функционирования аудита, адекватной потребностям российской экономики, совершенствование форм и методов проведения аудиторских проверок с учетом развития аудита в России и требований международных стандартов по бухгалтерскому учету и аудиту.

В современных условиях становление аудита и в целом аудиторской деятельности должно быть, прежде всего, направлено на реализацию и усиление контрольной функции аудита, что может быть достигнуто только в результате перехода от модели подтверждающего к модели системно-ориентированного аудита. Такой подход требует активного применения средств и методов научного познания, и особенно метода моделирования, использующего мощные средства современной математики и информационных технологий. Информационное моделирование позволит изучать особенности, свойства, взаимосвязи аудиторской деятельности, тенденции ее развития в России и за рубежом. Информационно-математическое моделирование аудиторской деятельности должно стать основой процесса построения модели функционирования российского аудита.

Задачи компьютерной информационной системы аудиторской деятельности

В практике проектирования компьютерной информационной системы аудиторской деятельности (КИС АД) прослеживаются два принципиально различающихся подхода к их созданию.

1. Использование набора тестов (рабочих таблиц), ориентированных на ввод констатирующей информации о соблюдении тех или иных правил бухгалтерского учета. При этом бухгалтерская информация клиента полностью или частично игнорируется. Этот путь может привести к существенному риску пропуска ошибок, поэтому более перспективен второй подход.

2. Ориентирование на первичную информацию клиента, в которой отражены хозяйственные операции на синтетическом и аналитическом уровне. В этом случае требуются существенные затраты времени на ввод данных клиента.

В рамках второго подхода возможны два способа создания КИС АД:

система компьютеризации аудита по этапам;

система компьютеризации аудита по комплексам задач.

Система компьютеризации аудита по этапам предполагает использование сетевой архитектуры и хранение всех данных в единой базе, к которой пользователи системы должны иметь авторизованный доступ соответствующего уровня. Пользователям предоставляют разные права по работе с системой, которые в простом варианте делятся на два уровня: руководитель проверки и аудиторы. Вся информация, записанная в базу данных, должна быть доступна одновременно всем членам аудиторской группы.

Выделяются три этапа технологии работы аудитора в условиях КИС АД:

подготовительный этап;

проведение проверки;

завершающий этап.

На подготовительном этапе изучается и записывается в базу данных информация о клиенте, данные главной книги, показатели бухгалтерской отчетности и другая информация. Изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица определяется используемой им системой компьютерной обработки данных (КОД).

При проведении аудита в системе КОД сохраняются цель и основные подходы к определению методов проведения аудита. Однако КОД влияет на изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица. Это вызвано тем, что источниками информации для аудитора выступают учетные документы на машиночитаемом носителе, в памяти компьютера находится постоянная нормативно-справочная информация, применяется автоматизированная форма бухгалтерского учета.

Работая в среде КОД, аудитор изучает организационную форму обработки данных, форму бухгалтерского учета и его автоматизированные разделы, применение локального или сетевого варианта обработки данных, обеспечение архивирования и хранения данных. Аудитор должен также описать техническое, программное, технологическое обеспечение КОД. Он оценивает возможности компьютерной системы с точки зрения ее гибкого реагирования на изменения хозяйственного законодательства, формирования управленческой отчетности, проведения аналитических процедур, а также степени квалификации учетного персонала в области информационных технологий.

В ходе проведения аудита системы КОД клиента аудитору необходимо осуществить следующие задачи

Необходимо ознакомиться с организационной формой обработки данных и уровнем автоматизации управленческих задач, в том числе задач бухгалтерского учета. На малых предприятиях, где обработка данных выполняется одним бухгалтером, программное обеспечение бухгалтерского учета и информационная база сосредоточены на одном компьютере. При численности бухгалтерии более одного человека речь идет о многопользовательских системах, реализующих работу нескольких пользователей с информационной базой учета. Аудитор должен разбираться в основных отличиях этих технологий, так как это влияет на определяемые им процедуры проверки и риск проводимого аудита.

Аудитор должен дать оценку правильности выбора задач автоматизации и высказать мнение о задачах, участках учета, работе подразделений, где применение компьютерной технологии обработки данных даст наибольший эффект. В первую очередь подлежат автоматизации работы наиболее перегруженных подразделений, которые тормозят работу предприятия. Прежде всего следует автоматизировать учет и анализ дебиторской задолженности.

В ходе проверки аудитору следует изучить и оценить систему документооборота организации: порядок формирования, регистрации, хранения, обработки документов и трансформации первичных документов в систему записей на бухгалтерских счетах. Необходимо выяснить места возникновения первичной информации и степень ее сбора и регистрации. Для этого аудитор должен ознакомиться со схемой расположения автоматизированных рабочих мест управленческих работников на предприятии.

Аудитор должен дать характеристику способам ввода данных и формированию записей о хозяйственных операциях. Автоматизированная и автоматическая генерация бухгалтерских записей и проводок на основе типовых операций и электронных форм документов позволяет избежать многих ошибок, которые неизбежны при ручном вводе и формировании проводок. Ошибка также может содержаться в типовой проводке или в электронных формах, которые необходимо проверить. Следует изучить организацию хранения информации о хозяйственных операциях и возможность быстрого получения информации о хозяйственных операциях, документах и вывода ее на печать.

Обязательной аудиторской процедурой является тестирование вводимых данных в систему КОД бухгалтерского учета. Эта проце дура предполагает тестирование полноты документов в "бумажном" варианте и тестирование соответствия бумажных документов их электронным копиям, введенным в систему. Отсутствие этого соответствия является сигналом того, что отчетность является недостоверной.

Аудитор должен удостовериться в обеспечении сохранности данных информационной системы, в простоте доступа к данным и ограничении несанкционированного доступа к ним.

Особое внимание уделяется проверке надежности средств внутреннего контроля в среде КОД. Аудитор обязан выявить слабые места контроля систем компьютерного учета: рассмотреть аппаратные и программные средства контроля, организационные мероприятия (архивирование данных, проверка на вирус). Ему необходимо проанализировать способы организации контроля полноты и правильности ввода первичной информации в информационную базу, контроля, обработки и выбора данных, дать оценку их достаточности и эффективности. В многопользовательских сетевых системах объектом внимания должен быть процесс передачи данных.

Аудитор должен тщательно проверить правильность алгоритмов расчетов.

Ошибка, заложенная в алгоритм расчета, который многократно применяется к повторяющимся хозяйственным операциям, может исказить результат хозяйственной деятельности.

После осуществления указанных задач на основе полученной информации проводятся предварительный финансовый анализ, оценка уровня существенности и аудиторского риска, разрабатывается общий план аудита и распределяются обязанности между членами аудиторской группы.

При определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием КОД, следует руководствоваться правилом (стандартом) "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной системы".

Планирование аудита в системе КОД осуществляется согласно правилу (стандарту) "Планирование аудита".

При планировании проведения аудита с применением компьютеров нужно учесть следующее: обеспеченность аудиторской организации оборудованием, необходимым как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров; дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом; факт привлечения к работе экспертов в области информационных технологий; знания, опыт и квалификацию аудитора в области информационных технологий; целесообразность использования тестов, производимых без использования компьютера; эффективность использования компьютера при проведении аудита. Составляя общий план и программу аудита, следует принимать во внимание степень автоматизации обработки учетной информации, применяемые экономическим субъектом информационные технологии.

В документах о планировании аудита должны найти отражение характер выполнения процедур аудита с использованием КОД, необходимость привлечения независимого эксперта в целях изучения и оценки системы КОД клиента в целом и отдельных ее сторон, дата и форма предоставления данных из компьютерной системы учета аудитору, особенности предоставления аудиторской документации.

Далее аудиторы в соответствии с полученным заданием самостоятельно проводят анализ бухгалтерских записей по главной книге с целью выявления некорректных и нетипичных операций, определяют уровень существенности показателей по разделам, разрабатывают программы аудита по разделам с учетом особенностей экономического субъекта.

Вторым этапом является проведение проверки, в ходе которой аудитор исследует некоторую совокупность хозяйственных операций (величина совокупности определяется внутрифирменными стандартами). Исследуя отдельную хозяйственную операцию, аудитор должен располагать следующими возможностями: в ходе работы обращаться к сформированной на подготовительном этапе локальной базе правил по своему разделу; регистрировать в базе данных все проверенные операции и свои комментарии по ним; регистрировать допущенные ошибки и нарушения по рассматриваемой хозяйственной операции, используя справочник типовых бухгалтерских ошибок; регистрировать в локальной базе правил своего раздела собственные профессиональные суждения о соблюдении или несоблюдении отдельных правил бухгалтерского учета.

При сборе аудиторских доказательств в системе КОД следует руководствоваться правилом (стандартом)"Аудиторские доказательства". Источниками получения аудиторских доказательств являются данные, которые хранятся в системе КОД бухгалтерского учета в файлах, первичных документах, в массивах информации о хозяйственных операциях. Либо клиент, либо сам аудитор формирует необходимые хронологические и системные учетные регистры в требуемых разрезах и включает их в состав рабочих документов аудитора. Аналогично аудитор может поступить с бухгалтерской отчетностью. Аудитору следует убедиться, что регистры учета, подготовленные системой КОД бухгалтерского учета, соответствуют данным первичного учета.

На завершающем этапе аудитор проводит оценку и анализ полученной в ходе аудита информации. Автоматизация позволяет ему оценить существенность выявленных нарушений. Модулем обработки и оценки должен быстро производиться расчет выявленных нарушений на основе данных по принятым уровням существенности и проверенным операциям, числу выявленных нарушений по счетам и величине проверяемой совокупности. Одновременно с этим должна формироваться справка о количестве и характере так называемых качественных нарушений, т.е. нарушений, не влияющих на сальдо проверяемого счета или по которым невозможно определить величину искажения отчетности.

Итогом проверки раздела для аудитора является мнение о достоверности проверенного раздела, документирование проведенной проверки и подготовка отчета руководителя. При документировании аудита в системе КОД следует руководствоваться правилом (стандартом)"Документирование аудита".

Системы компьютеризации аудита по комплексам задач делятся на два класса систем:

компьютерную систему внутреннего аудита;

компьютерную систему внешнего аудита.

Компьютерная система внутреннего аудита специализирована и отражает особенности конкретных организаций. Система включает два комплекса задач:

комплекс "Документация", предназначенный для проверки правильности отображения финансово-хозяйственных операций в бухгалтерских документах и отчетности;

комплекс "Консультирование", позволяющий на основании отчетности предприятия определить направление его развития и оказывающий помощь в принятии управленческих решений.

Компьютерная система внешнего аудита отличается универсальностью. Она привносится на любой объект аудита извне, а потому должна учитывать общие стандарты и обладать способностью настройки на операционные среды компьютеров клиентов. Как всякая информационная система, она включает функциональную и обеспечивающую части.

Функциональная часть системы представлена четырьмя комплексами задач.

Комплекс "Администрация" предназначен для реализации функции оценки эффективности условий руководства в выборе стратегии финансово-хозяйственной деятельности и текущих решений в отчетном периоде. Здесь решаются задачи аудита заемных средств, финансовой прочности, гибкости, стратегии развития, финансовой устойчивости, платежной способности, комплексного аудиторского анализа.

Комплекс "Персонал" служит оценке существующих на предприятии систем учета финансово-хозяйственных операций, а также выявлению преднамеренных или случайных ошибок учетного персонала. Выделяются две группы задач: задачи проверки бухгалтерской документации, имеющей отношение к отдельным статьям баланса, и задачи анализа финансовых операций по участкам аудита.

Комплекс "Отчетность" обеспечивает проверку финансовой и другой отчетности, контроль согласованности показателей отчетной документации, контроль правильности расчетов.

Комплекс "Консультирование" предназначен для выработки и обоснования действий администрации в последующий период. Состав задач этого комплекса определяется составом задач комплекса "Администрация", но одновременно вырабатываются консультационные.