У цьому випадку аудитори використовують різноманітні способи тестування програмного забезпечення, при яких сукупність програмних алгоритмів розглядається як "чорний ящик". Окремі такі методи наводяться у Міжнародному положенні про аудиторську практику № 1009 "Комп'ютеризовані методи аудиту"16 (в англомовній редакції 2005 р. скасоване). У ньому зазначається, що методи тестових даних використовуються під час аудиторської перевірки шляхом введення даних (наприклад, набору господарських операцій) в комп'ютерну систему суб'єкта і порівняння отриманих результатів із заздалегідь визначеними. Аудитор може використовувати тестові дані: для тестування конкретних засобів контролю в комп'ютерних програмах, таких як інтерактивний пароль і контроль доступу до даних; тестування господарських операцій, відібраних з раніше оброблених операцій, або сформульованих аудитором для перевірки окремих характеристик процесу обробки, що здійснюється комп'ютерною системою суб'єкта; тестування господарських операцій, які використовуються в інтегрованих тестових підсистемах, де застосовується фіктивний модуль (наприклад, відділ або службова особа), через який вони проходять під час звичайного циклу обробки. На практиці українські аудитори, спираючись на свій досвід, складають набір облікових задач з різних галузей господарської діяльності, що містять десятки певних уявних господарських операцій, які подаються на вхід програмної системи, що перевіряється (рис. 1.7). Тестові дані (test data — TD) — це бухгалтерські документи, операції і проводки, що не відображають реальних фактів господарського життя, а спеціально підготовлені аудитором для перевірки програмних алгоритмів, реалізованих в обліковій системі підприємства-клієнта.
Рис. 1.7. Загальний підхід до тестування програмного забезпечення Тестові дані вводять в КІСП і порівнюють фактичні результати з прогнозом аудитора. Якщо контрольні підсумки дорівнюють фактичним, правильність роботи програми визнається доведеною. Аудитор може застосовувати спеціальне програмне забезпечення, що створює тестові дані (генератор тестових даних). Звичайно частину таких уявних тестових господарських операцій та документів аудитор навмисне робить некоректними з погляду законодавства та загальноприйнятої бухгалтерської практики. При цьому аудитор знає, який саме результат має видати програма. Наприклад, для перевірки правильності нарахування прибуткового податку аудитор може ввести в комп'ютер клієнта значення певної суми заробітної плати та переконатися в правильності отриманого результату. Якщо результат, який на виході надає програмна система клієнта, не збігається з розрахунками аудитора, це є підставою для проведення ретельного дослідження причин та з'ясування можливих наслідків таких розходжень, включно з вивченням алгоритмів щодо конкретної ділянки обліку. Метод тестових (контрольних) даних може бути ефективним у наступних ситуаціях аудиту: при тестуванні засобів контролю вхідних даних, включаючи процедури підтвердження даних; при тестуванні логіки обробки даних та засобів контролю з метою підтвердження правильності головних файлів; 3)при тестуванні розрахунків, здійснених всередині програм, зокрема: визначення відсоткових ставок, знижок, комісій, підрахунків зарплати чи амортизації; 4) при тестуванні ручних процедур чи засобів контролю, що стосуються комп'ютерної системи, особливо процедур з вхідними та вихідними даними. Наведена вище технологія тестування в цілому відповідає методиці, описаній в Міжнародних положеннях про аудиторську практику, хоча у світовій практиці аудиту ширше використовується комплексний підхід до тестування (Integrated test facility approach — ITF), який включає я-к використання тестових операцій, так і створення певних уявних об'єктів аналітичного обліку (дебіторів, кредиторів, працівників, матеріальних цінностей тощо)17. При цьому звичайно в програму вводять набір даних, що містить як реальні, так і уявні записи (рис. 1.8).
Рис. 1.8. Послідовність здійснення комплексного підходу до тестування облікового програмного забезпечення У всіх випадках аудиторські процедури слід проводити не з оригінальними файлами суб'єкта перевірки, а з копіями цих файлів, оскільки будь-які їх зміни, що здійснюються аудитором, та можливе пошкодження не мають впливати на інформацію в системах комп'ютерної обробки даних. У тому випадку, коли контрольні дані обробляються в рамках звичайного процесу обробки інформації суб'єкта, аудитор повинен пересвідчитись в тому, що контрольні господарські операції вилучені з облікових записів підприємства. Положення про міжнародну аудиторську практику виділяють особливості роботи з різними комп'ютерними системами при проведенні аудиту. Це положення № 1001 "Середовище IT — автономні персональні комп'ютери", № 1002 "Середовище IT — інтерактивні комп'ютерні системи", № 1003 "Середовище IT — системи баз даних"18 (в англомовній редакції 2005 року всі скасовані). Міжнародне положення № 1001 "Середовище IT — автономні персональні комп'ютери" регламентує особливості проведення аудиту на підприємствах, які використовують окремі персональні комп'ютери. Застарілі бухгалтерські системи 1970—1980-х років (іноді їх називають успадкованими), як правило, складаються з автономних підсистем (зарплата, постачання), які виводять дані на друк. З підсистем бухгалтери беруть підсумкові цифри для проводок в Головній книзі. Потім система Головної книги готує фінансові звіти. Такі комплекси працюють в пакетному режимі: дані збираються у файлі транзакцій і періодично вводяться в головний файл. Порядок розрахунку і звірки контрольних сум за групами такий: введення — обробка — висновок. Подібна схема досі застосовується на багатьох підприємствах і в бюджетних організаціях. Особливість застосування персональних комп'ютерів і окремих АРМ полягає в тому, що для керівництва підприємства-клієнта може бути неможливим або недоцільним з погляду співвідношення витрат і результатів впровадити належні засоби контролю з метою зменшення ризику не виявлення помилок до мінімального рівня. Тому аудитор вправі припустити, що в таких системах ризик системи контролю високий. Рівень же централізації обробки і збереження даних може бути різним і залежить від чисельності бухгалтерії, оснащеності її комп'ютерами, розподілу робіт між персоналом і багатьох інших факторів. На малих підприємствах, де обробка даних виконується одним бухгалтером, програмне забезпечення КСБО й інформаційна база зосереджені на одному комп'ютері. Однак за більш численної бухгалтерії мова йде вже про багатокористувацькі системи, що реалізують роботу декількох користувачів з інформаційною базою обліку. У цілому, КСБО, в яких використовуються тільки окремі персональні комп'ютери, є менш складними, ніж мережеві КСБО. У першому випадку прикладні програми можуть бути легко розроблені користувачами, що володіють основними навичками обробки даних. У таких випадках контроль за процесом системної розробки (наприклад, адекватна документація) і операціями (наприклад, доступ до контрольних процедур), що суттєві для ефективного контролю у великому комп'ютерному середовищі, не може розглядатися розробником, користувачем або керівниками як настільки ж важливий або ефективний з погляду співвідношення витрат і результатів. Проте оскільки дані були оброблені комп'ютером, користувачі такої інформації можуть без відповідних на те підстав надмірно покладатися на облікову інформацію. Оскільки персональні комп'ютери орієнтовані на індивідуальних кінцевих користувачів, точність і вірогідність підготовленої фінансової інформації буде залежати від засобів внутрішнього контролю, встановлених керівництвом і прийнятих користувачем. Наприклад, якщо комп'ютером користуються декілька людей без належного контролю, то програми і дані одного користувача, що зберігаються на вбудованому носії інформації, можуть стати предметом недозволеного користування, зміни або шахрайства з боку інших користувачів. Міжнародне положення № 1002 "Середовище IT — інтерактивні комп'ютерні системи" регламентує особливості проведення аудиту на підприємствах, які використовують КІСП з модулями оперативного обліку господарських операцій в реальному режимі часу. Це актуально насамперед для таких сфер бізнесу, як банки, мобільна телефонія, електронна комерція тощо. Особливістю таких систем є розвинені вбудовані засоби контролю (controls) під час здійснення господарських операцій. При введенні даних в інтерактивному режимі вони звичайно піддаються негайній перевірці. Непідтверджені дані не будуть прийняті, і на екрані термінала висвітиться повідомлення, що дає можливість користувачу виправити дані та відразу ж ввести їх повторно. Наприклад, якщо користувач вводить неправильний порядковий номер товарно-матеріальних цінностей, буде виведено повідомлення про помилку, що надасть користувачу можливість ввести правильний номер. Аудиторські процедури, виконувані одночасно з інтерактивною обробкою, можуть включати перевірку відповідності засобів контролю за інтерактивними прикладними програмами. Наприклад, це може бути зроблено за допомогою введення тестових операцій через пристрій термінала або за допомогою аудиторського програмного забезпечення. Аудитор може використовувати такі тести для того, щоб підтвердити своє розуміння системи або для перевірки засобів контролю, таких як паролі та інші засоби контролю доступу. Є певні особливості систем, що працюють у реальному масштабі часу, які створюють труднощі як для користувача, так і для аудитора. В американських публікаціях зазначається, що із системами, що працюють у реальному масштабі часу, пов'язані чотири фактори, що створюють додаткові труднощі для контролю. введені дані звичайно не згруповані, тому комп'ютер на система сприймає невпорядковані дані різних видів, що вводяться; на комп'ютері здійснюється швидка перевірка документів. Наприклад, засоби контролю обробки даних системи, що працює у реальному масштабі часу, можуть функціонувати без будь-якої документації. Подібно до цього робочі програми, команди можуть бути представлені у формі візуального зображення без роздруковування результатів і стандартної форми; системи, що працюють у реальному масштабі часу, збільшують і ускладнюють взаємозв'язок секцій системи; висока продуктивність систем, що працюють у реальному масштабі часу, значно збільшує швидкість обробки інформації, що ускладнює процес контролю. Особливості інтерактивних комп'ютерних систем обумовлюють велику ефективність проведення аудитором аналізу нових інтерактивних бухгалтерських прикладних програм до, а не після початку експлуатації. Такий попередній аналіз дасть аудитору можливість перевірити додаткові функції, наприклад, детальні списки операцій або функції контролю в межах самої програми. Це також може дати аудитору достатньо часу для того, щоб розробити і випробувати аудиторські процедури до їх проведення. У Міжнародному Положенні № 1003 "Середовище IT — системи баз даних" зазначаються особливості функціонування комплексних КІСП, які ґрунтуються на єдиній базі (сховищі) даних (data warehouse), дані з якої використовуються різними службами підприємства. База даних є сукупністю даних, що використовуються багатьма користувачами для різних цілей. Кожен користувач може не знати всіх даних, що зберігаються в базі даних, і способів використання даних для різних цілей. У цілому, індивідуальні користувачі знають тільки про дані, якими вони користуються, і можуть розглядати дані як комп'ютерні файли, що використовуються прикладними програмами. Системи баз даних складаються, переважно, з двох основних компонентів — бази даних і системи управління базою даних (СУБД). Бази даних взаємодіють з іншими технічними і програмними засобами всієї комп'ютерної системи. Системи баз даних відрізняються двома важливими характеристиками: спільним користуванням даними і незалежністю даних. Оскільки інфраструктура безпеки підприємства відіграє важливу роль у забезпеченні цілісності виробленої інформації, аудитору необхідно розглянути цю інфраструктуру перед перевіркою контрольних засобів. Загалом внутрішній контроль у середовищі баз даних потребує ефективної системи контролю за базою даних, СУБД і прикладними програмами. Ефективність системи внутрішнього контролю залежить великою мірою від характеру завдань адміністрування бази даних і того, як вони виконуються. Отже, ми з'ясували, які є засоби контролю КІСП та визначили способи перевірки їх ефективності. Таке тестування засобів контролю проводиться для того, щоб визначити ступінь ризику, який потенційно може виникнути при складанні фінансової звітності. Після тестування засобів контролю ризик може бути оцінений як низький, середній та високий, що матиме значний вплив на проведення детальної перевірки.
Ви переглядаєте статтю (реферат): «Тестування програмного забезпечення» з дисципліни «Комп’ютерний аудит»