Згідно з вимогами Міжнародного стандарту 400 "Оцінка ризиків та внутрішній контроль", аудитор повинен оцінити властивий (притаманний) ризик і ризик невідповідності внутрішньої системи контролю й управління. Особливості оцінки ризиків при застосуванні КІСП і КСБО також наведено у Міжнародному стандарті 401 «Аудит у середовищі комп'ютерних інформаційних систем» та Міжнародному положенні про аудиторську практику 1008 «Оцінювання ризиків та внутрішній контроль: характеристики та особливості в КІС». Характер ризику і характеристики внутрішнього контролю в середовищі КІСП такі. Відсутність слідів операцій — неясність шляху перетворення від вхідної інформації з первинних облікових документів до підсумкових показників. Деякі КІСП спроектовані таким чином, що повний обсяг інформації про операцію, що використовується з метою аудиту, може існувати тільки протягом короткого періоду часу або тільки у форматі, що прочитується на комп'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто існує можливість прочитання інформації тільки на електронних носіях, оскільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити існування повного набору дій. Саме тому помилки, які існують у самому алгоритмі програми, дуже складно виявити без використання спеціальних програм. Єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються ті самі інструкції. Таким чином, фактично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програмування (та інші систематичні помилки в технічних засобах або програмному забезпеченні) призводять до неправильної обробки всіх операцій. Зменшення участі людини в процесах обробки інформації призводить до того, що помилки і недоліки, які трапляються в проекті, через зміни прикладних програм або системного програмного забезпечення можуть залишатися невиявленими ними тривалий час. Відсутність поділу функцій. Багато процедур контролю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІСП. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може виконувати несумісні функції. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського обліку вручну вони були б звичайно розподілені між декількома співробітниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе. Потенціал помилок і недоліків, властивих КІСП, значно вищий, ніж при веденні бухгалтерського обліку шляхом ручної обробки. Можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслуговуванні й експлуатації КІС може бути більша, ніж у системах ручної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІСП, ніж у системах ручної обробки даних. Нижчий ступінь участі людей у процесі здійснення операцій може знизити ймовірність виявлення помилок і порушень. Помилки чи порушення, що трапляються в розробці або модифікації прикладних програм чи системного програмного забезпечення, можуть залишатися невиявленими протягом тривалого часу. Властивий (притаманний) ризик і ризик внутрішнього контролю в середовищі КІСП мають окремі особливі властивості: ризик може виникнути через неточності при розробці програми, супроводженні і підтримці програмного забезпечення системи, операцій, безпеки системи і контролю доступу до спеціальних програм управління. Ризик може зростати через помилки або шахрайство як у програмних модулях, так і в базах даних. Наприклад, треба вжити необхідних заходів, які попереджають виникнення помилок у системах, у яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко. Слід розуміти, що деякі системи більше зазнають впливу помилок внаслідок неправильних дій оператора, а інші — внаслідок навмисного перекручення інформації, яка вводиться, залежно від вказівок вмонтованого контролю програмного комплексу. Ініціювання або здійснення операцій. Комп'ютерні інформаційні системи можуть мати здатність автоматично ініціювати або здійснювати визначені види операцій. Дозвіл на виконання таких операцій або процедур не обов'язково документально оформляється таким же чином, як і при ручній обробці, Можливості вдосконалення управлінського контролю. КІСП може надати керівництву безліч аналітичних засобів, які можна застосовувати в аналізі операцій і контролі за діяльністю суб'єкта. Наявність таких додаткових засобів контролю, у разі їх використання, допомагає покращити структуру внутрішнього контролю в цілому. Приклади причин помилок в обліковій інформації при застосуванні КІСП наведено в табл. 4.1. Таблиця 4.1. Приклади появи можливих помилок в обліковій інформації при застосуванні КІСП № пор. Найменування Приклади 1 Зниження ступеня залучення персоналу Якщо обліковий персонал чи аудитор не мають можливості безпосереднього візуального спостереження за первинною інформацією, що вводиться (або можуть тільки перевірити результати обробки даних у вигляді зведення), це підвищує імовірність пропуску помилок і неточностей 2 Однаковість обробки інформації У спрощених і навіть у складних КСБО іноді (наприклад, при неправильному складанні бухгалтером чи програмістом визначеного алгоритму часто повторюваних розрахунків — скажімо, за ПДВ) підвищується ймовірність системних помилок і неточностей. Причому, якщо кожна з них несуттєва окремо, їхній сукупний накопичений за рік ефект може значно спотворити звітність у цілому 3 Несанкціонований доступ Можливі витікання або несанкціонована зміна інформації (у тому числі й конфіденційної), внесення небажаних змін у саму систему, а також матеріальні втрати (розкрадання коштів, товарно-матеріальних цінностей та інших активів) у результаті шахрайства з використанням комп'ютерів 4 Втрата даних Подання обліково-аналітичної інформації у формі великої бази даних обтяжено потенційним ризиком перекручування чи навіть втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необхідності її термінового відновлення в значних масштабах і як наслідок — суттєві за часом перерви в обробці поточної облікової інформації Отже, використання клієнтом комп'ютерних систем обробки даних вносить додаткові аудиторські ризики. Ці ризики пов'язані з такими чинниками: технічні аспекти; програмна система обробки інформації; організація обліку і контролю при використанні КІСП; кваліфікація самого аудитора. Технічні аспекти стосуються ризиків, викликаних поганою роботою апаратних засобів, використанням нелегального програмного забезпечення, невідповідністю характеристик апаратного і програмного забезпечення, відсутністю належного технічного обслуговування і контролю. Ризик аудиту підвищується, якщо комп'ютерна система децентралізована, комп'ютерні пристрої географічно рознесені. Відомо, що законний власник програмного забезпечення бухгалтерського обліку має право одержувати допомогу і підтримку в розробника програмного продукту. Оскільки фірми-розробники ретельно відслідковують усі зміни в законодавстві і нормативних актах, то вони вчасно вносять виправлення у свої програми і часто безплатно чи за незначну доплату надають їх своїм користувачам. Ця допомога і підтримка сприяють підвищенню надійності роботи з такою програмою, знижують аудиторський ризик. Використання ж незаконно придбаної програми підвищує аудиторський ризик, оскільки такі програми часто є застарілими версіями, у них вчасно не коригуються алгоритми розрахунків, форми звітності й документів, користувач не має супровідної документації і не може цілком правильно використовувати можливості програми. Саме тому аудитору слід оцінити законність придбання і ліцензійну чистоту бухгалтерського і системного програмного забезпечення, що використовується на підприємстві, яке перевіряється. Крім того, одним із завдань аудиту є дотримання клієнтом діючого законодавства, в тому числі й виконання вимог щодо охорони авторських прав на програмні продукти. Ризики, пов'язані з програмною системою обробки даних, можуть бути викликані помилками при розробці системи, її малою тиражністю, використанням не за призначенням. Програми широко розповсюджені, застосовувані на сотнях підприємств і в різних умовах, як правило, не мають помилок, тому що їх було виявлено в процесі впровадження на багатьох об'єктах і усунуто. Аудиторський ризик у цьому разі знижується. І навпаки, в системі, створеній в одиничному екземплярі програмістом, який не має економічної підготовки, скоріш за все, є багато помилок. Природно, вона підвищує ризик при аудиторській перевірці. Не виключаються випадки застосування програм, явно не призначених для бухгалтерського обліку, для обробки саме даних обліку. Обов'язок аудитора з'ясувати, чи використовується система клієнта за призначенням. Ризики, пов'язані з організацією обліку і контролю при використанні КІСП, викликані недостатньою підготовкою персоналу клієнта до роботи із системою обробки облікових даних, відсутністю чіткого розмежування обов'язків і відповідальності персоналу клієнта, незадовільною організацією системи внутрішнього контролю, слабкою системою захисту від несанкціонованого доступу до бази даних або її відсутністю, втратою даних. Ризики, пов'язані з кваліфікацією аудитора, можливі в зв'язку з неправильною оцінкою системи обробки облікових даних, некоректністю побудови тестів, помилковим тлумаченням результатів. У сучасних умовах погано навчений персонал є найбільш уразливою ланкою системи обробки даних. Аудитор повинен оцінити кваліфікацію облікового персоналу у сфері комп'ютерної підготовки, інформаційних технологій і конкретної облікової системи. Йому необхідно звернути увагу і на ставлення персоналу до системи, ступінь довіри до неї. Бухгалтер, який вважає, що він швидше виконає роботу без використання програми, вочевидь погано ознайомлений із її можливостями і, можливо, робить багато помилок при обробці даних на комп'ютері.
Ви переглядаєте статтю (реферат): «Аудиторський ризик при використанні КІСП» з дисципліни «Комп’ютерний аудит»
