Особлива увага приділяється перевірці надійності засобів внутрішнього контролю в середовищі комп'ютерної обробки даних. Облікова політика, що орієнтується на автоматизовану інформаційну систему бухгалтерського обліку, має обов'язково передбачати елементи внутрішнього контролю. Аудитор повинен виявити слабкі місця стосовно контролю системи комп'ютерного обліку — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи перевірки цілісності даних і відсутності комп'ютерних вірусів. Засоби і методи контролю в КІСП значно відрізняються один від одного: деякі з них покликані запобігати помилкам (preventive), а призначення інших — виявляти та виправляти їх (detective). К. Кловз розділяє засоби і методи контролю залежно від того, чи аудит проводиться з перевіркою комп'ютерних процесів обробки даних (audit through the computer) чи без нього (audit around the computer)1'. Інші автори поділяють такі засоби контролю відповідно на автоматизовані (automated) або ручні (manual). Е. Вульф поділяє засоби контролю (controls) на 2 основні групи: 1) засоби контролю прикладних програм (application controls). Це засоби контролю всередині прикладної програми, які перевіряють точність вхідних даних, обробки даних та достовірність облікових вхідних даних. Вони становлять комбінацію ручних та комп'ютерних процедур. Вони не є окремими програмними продуктами, а є частинами комп'ютерних програм, які допускають здійснення процедур контролю; 2) загальні засоби контролю (general controls). Ці засоби контролю забезпечують середовище прикладних програм та ефективну діяльність програмних процедур. Загальні засоби контролю, в свою чергу, поділяються на адміністративні засоби (administration controls), які попереджають ризики того, щоб повноваження з обробки інформації не концентрувались в одних руках, дані зберігались децентралізовано і на безпечних носіях інформації; а також на засоби контролю розробки (system development control), які передбачають обов'язкове використання стандартів і стандартних процедур (де це можливо) при творенні комп'ютерних інформаційних систем, створення засобів контролю доступу тощо. Види засобів контролю інформаційних систем за Дж. Чемплейном такі: засоби контролю оточення (environmental controls) — це політика, стандарти, організація відділу IT, а також фінансове становище сервісних організацій і постачальників, надані ними гарантії, умови сервісних контрактів; засоби фізичного контролю (physical security controls) — фізичний захист апаратного забезпечення; засоби логічного контролю (logical security controls) — вбудовані в операційну систему та прикладні програмні засоби для перешкоджання нелегальному доступу до да них та навмисному або випадковому їх пошкодженню; засоби контролю функціонування інформаційної системи (information system operating controls), які допомагають переконатися, що інформаційна система працює ефективно, тобто належним чином виконує свої функції. Можуть бути й інші класифікації засобів і методів контролю комп'ютерних систем. Так, наприклад, Сп. Пікетт та Дж. Вінтен поділяють їх на такі, що забезпечують підтримку комп'ютерної системи (support), засоби контролю прикладних програм (applications) та стандарти, яких треба дотримуватись при розробці комп'ютерних систем. Відповідно до Міжнародних стандартів аудиту12, класифікація засобів і методів контролю КІС може бути узагальнена за допомогою такої матриці (рис. 1.3). Відповідно до Міжнародних стандартів аудиту, загальні засоби ІТ-контролю (General IT-controls) — це методики і процедури, які стосуються багатьох прикладних програм і забезпечують ефективне функціонування засобів контролю прикладних програм, допомагаючи гарантувати постійне належне функціонування інформаційних систем.
Загальні засоби контролю (general controls) Засоби контролю прикладних програм (application controls) Засоби контролю доступу і безпеки Адміністративні засоби контролю (обмеження фізичного доступу до комп'ютерних засобів, стандарти функціонування комп'ютерних систем, розробка заходів на випадок стихійних? лих, пожеж тощо, організація відділу IT, організація резервного копіювання інформації) Засоби контролю доступу (обмеження доступу на рівні паролів, іншої ідентифікації користувача тощо, архівне копіювання даних), контроль цілісності даних Засоби контролю обробки інформації Надійність сервісного обслуговування інформаційної системи, засобів контролю розробки і модифікації програм Засоби контролю функціонування інформаційної системи (контролю введення, контролю обробки та контролю виведення інформації)
Рис. 1.3. Матриця засобів контролю КІС відповідно до Міжнародних стандартів аудиту
Загальні засоби ІТ-контролю звичайно включають засоби контролю над центрами даних і мережевими операціями; придбання системного програмного забезпечення, його зміну і підтримку; безпеку доступу; а також придбання прикладних програм, їх розвиток і підтримку. Натомість, засоби контролю прикладних програм (application controls) стосуються алгоритмічно реалізованих механізмів контролю в конкретному програмному забезпеченні. Деталізована класифікація засобів і методів контролю КІСП наведена на рис. 1.4.
Рис. 1.4. Вбудовані засоби контролю в КІСП та КСБО
Засоби контролю модифікації — процедури, розроблені, щоб запобігти або знайти некоректні зміни до комп'ютерних програм. Доступ може обмежуватися такими засобами контролю, як, наприклад, використання окремих програмних бібліотек для реальних операцій та розробки програми і використання спеціалізованих програмних бібліотек. Це є важливим для того, щоб зміни до програм були належним чином відстежені, проконтрольовані і задокументовані. Засоби контролю доступу — методи і процедури, розроблені для обмеження доступу до онлайнових термінальних пристроїв, програм і даних. Засоби контролю доступу складаються з "ідентифікації користувача" і "авторизації користувача"14. "Ідентифікація користувача" звичайно намагається ідентифікувати користувача через перевірку його певних унікальних параметрів при початку сеансу роботи (logon) — ім'я доступу, паролі, картки доступу або біометричні дані. "Авторизація користувача" складається з правил доступу, щоб визначити комп'ютерні ресурси, до яких може мати доступ кожний користувач. Зокрема, такі процедури розроблені, щоб запобігти або знайти: несанкціонований доступ до онлайнових термінальних пристроїв, програм і даних, введення несанкціонованих операцій, несанкціоновані зміни файлів даних, використання комп'ютерних програм персоналом, якому це заборонено, використання недозволених комп'ютерних програм. Наприклад, доступ до даних з заробітної плати працівникам може бути наданий лише певним особам. Засоби контролю фізичної безпеки — стосуються фізичної безпеки активів, включаючи відповідні заходи, як, наприклад, забезпечення безпечного доступу до активів і записів; авторизація доступу до комп'ютерних програм і файлів даних. Загальні засоби контролю КІСП перевіряються аудитором як під час проведення аудиту без допомоги комп'ютера, так і з використанням комп'ютерів і комп'ютеризованих методів аудиту. Традиційний підхід до тестування засобів контролю проявляється під час проведення аудиту без допомоги комп'ютера (auditing around the computer). Цей підхід фокусується на введенні інформації в комп'ютерну систему, отриманні вихідних даних та на ручних процедурах перевірки засобів контролю. Комп'ютерні засоби контролю обробки даних при цьому перевіряються непрямим шляхом через повторне виконання операцій вручну. Тестування входів, виходів інформації та ручної обробки буде включати такі процедури, як підтвердження (vouching), перерахунок (recomputation) та звіряння (tracing)15. Первинні документи при цьому перевіряються на їх легітимність, авторизацію, точність та повноту запису, а потім звіряються з відповідними вихідними даними. Обчислювальні процеси, які відбуваються в середовищі комп'ютерної системи, перевіряються при цьому вручну шляхом перерахунку, а дані, які використовуються в цих обчисленнях, наприклад, прайс-листи, підтверджуються відповідними затвердженими документами або внутрішніми положеннями.
Цей підхід до тестування бухгалтерських систем може бути достатньо ефективним. Якщо протестувати певну кількість даних, це надасть якусь впевненість в тому, що система працює правильно. Проте питання полягає в тому, що це не є найбільш ефективний метод для отримання такої впевненості. Наприклад, система може мати потужні вбудовані програмні засоби контролю для перевірки та коригування даних (засоби контролю прикладних програм). Замість того, щоб перевіряти велику кількість даних, аудитор просто може перевірити ці засоби контролю, тобто впевнитися в тому, що вони наявні і функціонують. Аудит за допомогою комп'ютера (auditing with the computer) покликаний в першу чергу перевіряти засоби контролю прикладних програм, до яких належать засоби контролю вхідних даних, що здійснюють формальний і логічний контроль даних при їх введенні в програму вручну або з інших програм (їх ще називають засобами контролю інтерфейсів); засоби контролю обробки даних, які забезпечують їх цілісність та інтегрованість (наприклад, забезпечують правильність розрахунку залишків або запобігають тому, щоб дані за подібними назвами різних контрагентів додавались); а також засоби контролю вихідних даних (правильність формування звітів і передачі інформації в інші програми). Після того, як вбудований засіб контролю виявлено, слід протестувати його ефективність. Для цього аудитор спочатку має проглянути технічну документацію на програму. Цей огляд повинен супроводжуватись обговоренням окремих питань з працівниками відділу комп'ютерного забезпечення. Аудитор повинен також впевнитись в тому, що ніяких змін до програмного забезпечення не було внесено, а якщо такі зміни і були проведені, то лише після їх відповідного затвердження. Програмні засоби контролю можуть інколи бути перевірені шляхом огляду їх функціонування за попередній період. Наприклад, системні звіти (system logs) є доказом того, що цей засіб контролю є і працює ефективно. Приклад такого системного звіту, який фіксує певні проблеми, що трапились під час введення операцій відвантаження продукції, показано в табл. 1.2. Цей log-файл містить інформацію про всі випадки, коли операцію почали вводити, але з якихось причин не змогли завершити.
Таблиця 1.2. Системний звіт скасування спроб відвантаження товару
№ замовлення Код покупця Код виро-бу № рядка системного журналу Код помилки Повідомлення 32564 354685 0038497 0132 01 Виробу немає в запасі 53627 635497 0004567 0145 02 Неправильний код виробу 32569 465796 0038497 0159 01 Виробу немає в запасі 35626 376444 0023894 0193 06 Перевищення кредитного ліміту покупця 73462 387429 0034782 0234 08 Цьому покупцю товари тимчасово не відпускаються
Проте деякі програмні засоби контролю не мають такого "друкованого доказу" і тому необхідно використовувати інші методи перевірки їхнього функціонування й ефективності. Це можна зробити, наприклад, шляхом введення тестових даних в систему і перевірки правильності отриманого результату (детальніше розглянуто далі). Іншим способом тестування програмних засобів контролю системи може бути перевірка програмної логіки. Завдання цього тестування — переконатись, що система робить те і тільки те, що закладено в документації і що вона робить це правильно. Проте воно висуває високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів мову програмування конкретної програми. Це дасть йому змогу не тільки протестувати алгоритм на конкретних даних, а й розібратися в правильності його налагодження, наприклад при використанні шаблонів для введення типових операцій, доступ до зміни яких має непрофесійний користувач — бухгалтер "1С: Бухгалтерия". Процес дещо полегшується, якщо програма правильно розроблена та до неї наявна документація, в якій показано відповідні блок-схеми із зображенням всього процесу обробки даних. Зазначимо, що деякі поширені програмні продукти для автоматизації бухгалтерського обліку налагоджуються за допомогою специфічних мов програмування, що оперують поняттями бухгалтерського обліку. Це робить алгоритми зрозумілими для бухгалтерів і аудиторів, які не мають спеціальної підготовки. Як приклад наведемо діалогову форму введення документа "Видаткова накладна", що міститься в українській конфігурації програми "1С: Бухгалтерия 7.7", що пропонується фірмою ABBYY Software, а також фрагмент алгоритму до цієї накладної, що забезпечує формування проводок (рис. 1.5).
Рис. 1.5. Видаткова накладна — діалогова форма документа
Як бачимо з наведеного прикладу, фахівець з бухгалтерського обліку або аудитор, навіть не маючи спеціальних знань з мови програмування програми, може зрозуміти, що за допомогою цього документа — видаткової накладної, можна формувати бухгалтерські документи з реалізації продукції, товарів або послуг з одночасним розрахунком податку на додану вартість та списанням собівартості товарів.Відстеження комп'ютерної логіки, особливо покрокове, показує, які інструкції виконує комп'ютер і в якій послідовності. Воно дає змогу, наприклад, виявити ділянки коду, не виконані при роботі програми. Такий код здатний стати джерелом зловживань. Наприклад, під час нормальної обробки не виконується ділянка коду в програмі зарплати. Аудитор може припустити, що логіка коду заражає систему вірусом, якщо в поточний період немає транзакцій з зарплати. Покадрова динаміка документує статус виконання програми, проміжні підсумки або дані транзакцій (операцій) на певний момент. Програмісти часто використовують цю процедуру для налагодження програм. "Зйомка" відбувається при виконанні конкретних умов, по виконанні конкретної команди або для якоїсь конкретної транзакції (відміченої позначкою — тегом). Транзакція з тегом (tag) дає змогу вивчати вплив конкретних транзакцій на інші файли. Так, можна виявити проблеми, порівнюючи підсумки відомих даних перевірки на конкретних етапах обробки, скажімо, заробітну плату до і після утримання податків. Часто закладена в проектну документацію система контролю не відповідає фактичному його здійсненню в процесі обробки облікової інформації. Тому аудитору слід переконатися у відповідності проекту фактичному обліковому процесу, перевірити правильність обробки інформації. Технологічний процес має забезпечити автоматизацію контролю правильності обробки інформації та виправлення виявлених помилок. Виявлені в період обробки за окремими стадіями технологічного процесу помилки мають відображатися у відповідних актах. За цими актами аудитор може відтворити і документально перевірити процес обробки інформації, з'ясувати, які помилки мають постійний характер, чим це зумовлено. Прикладом вбудованих засобів контролю вихідних даних може бути приклад обмеження перегляду інформації за рахунками для різних користувачів, впроваджених компанією "ТенТек" в бухгалтерії Києво-Могилянської академії (використовується спеціально розроблена конфігурація для програми "1С:Предприятие 7.7"). У конфігурації створені особливі довідники "Користувачі" і "Рахунки". Для кожного користувача адміністратор системи або головний бухгалтер задає перелік бухгалтерських рахунків, з якими йому дозволено працювати. Є довідник "Рахунки", який заповнюється рахунками для кожного користувача (в цьому випадку — користувач з ім'ям Nagrebelna), до яких доступ дозволений (рис. 1.6.).
Рис. 1.6. Список рахунків, дозволених для коригування і перегляду окремим працівником
Дані заборонених рахунків блокуються в різних звітах по-різному. У звітах, в яких передбачена можливість вибору рахунку, за яким цей звіт формується, перевірка здійснюється в момент завдання рахунку. Наприклад, в звіті "Оборотно-сальдова відомість за рахунком", якщо ми спробуємо обрати заборонений рахунок, програма повідомить про неможливість такого вибору і поверне нас в діалог вибору рахунку. У звітах, які формуються за переліком рахунків за замовчуванням, дані будуть друкуватися лише за переліком рахунків, доступних даному користувачу. Наприклад, у звіті "Оборотно-сальдова відомість" рядки, в яких виводяться дані за цими рахунками, відображаються не чорним як завжди, а сірим кольором. А замість цифр виводяться символи "х". У наведеному прикладі відображено, яку інформацію отримає бухгалтер з обліку основних засобів і матеріалів (Nagrebelna), якщо спробує побудувати оборотно-сальдову відомість в цілому за всіма рахунками підприємства . Крім того, у тих звітах, в яких дані про заборонені рахунки виводяться сірим кольором і позначаються "х", неможливо для цих рядків отримати розшифровку даних. Таким чином, найбільш точним методом оцінки засобів контролю, вбудованих у програмне забезпечення бухгалтерського обліку, є безпосереднє вивчення аудитором програмних алгоритмів. Проте це завжди потребує значного часу та зусиль, а іноді є й зовсім неможливим через, наприклад, брак і в аудитора, і в експерта знань особливостей мови програмування конкретної програмно-апаратної системи. До того ж, багато комп'ютерних програм ("Галактика", "Парус") за своєю побудовою є жорстко структурованими, зі специфічними алгоритмами, що в принципі не можуть бути переглянуті аудитором, який не має початкового (source) тексту програми.
Ви переглядаєте статтю (реферат): «Засоби і методи контролю в умовах КІСП» з дисципліни «Комп’ютерний аудит»