К.э.н. Баранова О.В.

Зао «кпмг»

Циклический подход при аудите на основе рисков в условиях компьютерной обработки данных

Среди уроков, которые аудиторы вынесли после экономического кризиса 2008 года, особое внимание следует обратить на переход от традиционного аудита, рассматривающего финансовую отчетность в качестве изолированного объекта проверки, к аудиту на основе рисков (АНОР), влиянию которых подвержено проверяемое предприятие и которые влияют на финансовую отчетность (ФО). В этой связи использование циклического подхода к аудиту как наиболее полно охватывающего все стороны жизнедеятельности аудируемого лица является особенно актуальным. Преимущество циклического подхода состоит в его всеобъемлющем охвате бизнес-процессов, и, как следствие, информационных потоков на предприятии. Принимая во внимание факт глобальной компьютеризации информационных потоков на предприятиях всех отраслей экономики, исследование влияния компьютерной обработки данных (КОД) на составление финансовой отчетности также в значительной степени представляет интерес при проведении АНОР.

Азиатская Организация Высших Аудиторских Институтов (ASOSAI) определяет аудит на основе рисков как подход к аудиту, при котором проводится анализ аудиторских рисков (АР), являющийся основой для установления уровня существенности и разработки аудиторских программ, уделяя особое внимание областям, имеющим повышенную степень риска [2]. Результатом АНОР является снижение влияния выявленных рисков искажения ФО до приемлемого аудитором уровня.

Все составные элементы аудиторского риска (неотъемлемый риск, риск системы внутреннего контроля (СВК), риск необнаружения) в той или иной степени тесно связаны с рисками аудируемого лица, в том числе рисками искажения ФО.

Таким образом, при АНОР перед аудитором стоят следующие цели: во-первых, получить разумный уровень уверенности в том, что проверяемое предприятие не забыло отразить в ФО значительный риск, событие или сделку, а во-вторых, удостовериться, что предприятие понимает важность мониторинга возможных рисков и имеет соответствующий план действий в случае их возникновения.

Таким образом, в АНОР можно выделить следующие стадии:

1) Понимание бизнес-процессов аудируемого лица для идентификации и ранжирования рисков.

2) Изучение стратегических действий руководства по снижению и предотвращению рисков, в том числе ознакомление с существующей СВК, с целью проведения оценки остаточного АР.

3) Проведение аудиторских процедур по снижению остаточного АР.

4) Предоставление формализованного отчета руководству проверяемого предприятия о результатах проверки.

Использование циклического подхода наиболее выгодно на первых двух стадиях АНОР, так как позволяет провести исследование влияния КОД на аудиторский риск в целом и его элементы. Анализ влияния КОД на АР в части неотъемлемого риска и риска необнаружения требует от аудитора значительного профессионального опыта, а также знаний в области информатики, программирования, способов функционирования аппаратного обеспечения. Оценка влияния КОД на риск СВК в большей степени требует от аудитора знаний в области бухгалтерского учета, документооборота на предприятии, нормативного регулирования, понимания технологических процессов экономического субъекта, способности строить логические цепочки и видеть структурные разрывы в них с анализом возможных исходов в результате наступления рисковой ситуации.

Изучая при циклическом подходе хозяйственные процессы на предприятии и соответствующие им риски КОД, аудитор анализирует их влияние на ФО. В результате оценочных мероприятий аудитор должен соответствующим образом составить аудиторскую программу или модифицировать уже спланированные аудиторские процедуры в сторону их увеличения или уменьшения в зависимости от результатов анализа рисков.

Ниже приведен ряд рисков КОД, а также возможные контрольные процедуры для указанного типа риска и их возможное влияние на ФО.

Риски отсутствия мер обеспечения сохранности данных, в основном, связаны с некорректной работой программного и аппаратного обеспечения. Среди контрольных процедур можно выделить наличие формализованного плана обновления компьютерных мощностей и программного обеспечения, проведения профилактических мероприятий с формализованным графиком работ по поддержанию программного и аппаратного обеспечения в рабочем состоянии, пр. Данные риски приводят к искажению данных ФО и/или некорректному представлению хозяйственного положения предприятия.

Риски отсутствия контроля за вводом исходных данных – одна из сложнейших областей оценки риска. К таким рискам относят несанкционированный доступ к информации (например, использование чужой учетной записи); ошибки, допущенные при составлении алгоритмов расчета финансовых показателей; использование пользователем недостоверных данных, пр. Контрольные процедуры в отношении данных типов рисков в большей степени должны обеспечиваться «культурой» контрольной среды, т.е. пользователи информационной системы не сообщают друг другу свои учетные записи и пароли. Аудитор в данном случае посредством наблюдения может оценить уровень безопасности данных. Непосредственная проверка может заключаться в осознанной провокации со стороны аудитора и возможности самостоятельного входа в систему. Данные риски в значительной степени влияют на ФО, т.к. исходные данные являются основой представления статей во всех формах отчетности и базой для расчета многочисленных параметров в приложениях к ней.

Риски отсутствия необходимой квалификации персонала – это широкий диапазон возможностей потери и искажения данных. Степень влияния рисков данного типа на ФО зависит от стажа персонала, возраста, уровня заработной платы, опыта работы, должности, образования по специальности. Среди контрольных процедур можно отметить кадровую политику предприятия в отношении подбора квалифицированных специалистов, поддержание уровня мотивации и непрерывного процесса обучения и повышения имеющихся профессиональных навыков. Указанные меры снижают риск «человеческого фактора» при составлении ФО.

Помимо указанных существуют и другие риски КОД, которые следует рассматривать аудитору при проведении АНОР. Компьютерная обработка данных является сложной областью для проведения аудиторских процедур. Однако использование циклического подхода в совокупности с процедурами оценки рисков КОД на стадии планирования и до начала проведения тестов по существу, позволяет аудитору в значительной мере понять хозяйственные процессы на предприятии, оценить влияние рисков аудируемого лица на ФО, а также удостовериться, что проверяемая финансовая отчетность не содержит значительные искажения, связанные с тем, что экономический субъект не отразил в своей отчетности существенные риски, представляя тем самым пользователям недостоверную информацию для принятия решений.

Литература:

1. Баранова О.В. Методология аудита в среде компьютерной обработки данных. – М.: Спутник+. 2008.

2. 7^th ASOSAI Research Project on “Audit Quality Management Systems”. – ASOSAI, 2006.