5836

Використання програмних технологій в аудиті

Конспект

Информатика, кибернетика и программирование

Аудит в умовах застосування комп'ютерних облікових систем. Методологія комп'ютерного аудиту. Методи аудиту із застосуванням комп'ютерів. Особливості аудиту підприємств, які застосовують комп'ютерні інформаційні системи. Налагодження комп'ютеризованих процедур аудиту та внутрішнього контролю.

Русский

2012-12-23

1.85 MB

77 чел.

Тема 1. Аудит в умовах застосування комп'ютерних облікових систем

1.Аудит в умовах КІСП і КСБО.

2.Планування аудиторських процедур у середовищі КІСП

3.Засоби і методи контролю в умовах КІСП.

4.Тестування програмного забезпечення.

Тема 2. Методологія комп'ютерного аудиту.

2.1.Особливості зміни методології аудиту при застосуванні комп’ютерної техніки.

2.2.Мета і основні елементи методології комп’ютерного аудиту.

2.3.Послідовність проведення аудиту в комп’ютерному середовищі

2.4.Оцінка аудиторського ризику при проведені комп’ютерного аудиту.

2.5.Вимоги до безпеки  інформаційного забезпечення при проведені аудиторських перевірок.

2.6.Фактори впливу на рівень аудиторського висновку при застосуванні комп’ютерних технологій.

Тема 3.Методи аудиту із застосуванням комп'ютерів.

3.1. Типи комп’ютеризованих методів аудиту.

3.2. Модель аудиторської програмної системи.

3.3.Роль вибірки при проведені комп’ютерного аудиту.

3.4.Методи дослідження файлів баз даних за допомогою спеціальних програмних продуктів.

3.5.Класифікація програмного забезпечення для проведення аудиту

3.6.Програми аудиту внутрішньо фірмових стандартів.

Тема 4. Особливості аудиту підприємств, які застосовують комп’ютерні інформаційні системи.

4.1.Особливості аудиту при застосуванні КІСП

4.2. Вивчення й оцінка КІСП

4.3. Аудиторський ризик при використанні КІСП

4.4.Методика тестування КІСП аудитором.

Тема 5. Налагодження комп’ютеризованих процедур аудиту та внутрішнього контролю.

5.1.Поняття про комп'ютерний контроль та аудит

5.2.Організаційні заходи контролю КІСП

5.3.Контроль за виконанням   облікових записів у КСБО.

5.4.Програмне забезпечення аудиторської діяльності

Тема 6. Аудит інформаційної безпеки підприємства

6.1.Загрози інформаційній безпеці підприємства.

6.2.Етапи убезпечення інформаційної системи.

6.3.Засоби і методи захисту інформаційних систем.

6.4.Відповідальність за незаконність використання інформаційних систем.

Список рекомендованої літератури

Додатки


Передмова

Застосування комп'ютерів суттєво впливає на здійснення контролю та аудиторських процедур. Однак слід мати на увазі, що контрольні функції є такими, які найважче автоматизувати. Сам факт комп'ютеризації обліку на підприємстві не може, наприклад, усунути приховування крадіжок і зловживань через неправильне перенесення на електронні носії реквізитів, зазначених в документах, введення фальсифікованих документів тощо. Питання в тому, наскільки ефективно реалізовані вбудовані засоби контролю в комп'ютерній системі. І тут аудиторам не слід відокремлювати фінансовий облік і аудит від нагляду за інформаційними системами, що генерують дані. Для перевірки якості показників, що виходять з надр таких систем, необхідно знати внутрішню побудову самих цих систем, зокрема, щодо вбудованих в них засобів контролю.

Тестування засобів контролю в умовах застосування інформаційних технологій набуває надзвичайної важливості, оскільки тут не можна застосовувати ті критерії суттєвості, що в паперових системах обліку. Якщо певну облікову функцію або операцію здійснює програмний алгоритм, то він, як правило, буде однаково обробляти всі подібні операції (як з незначною сумою, так і з великою, і помилка буде здійснюватися як на малу суму, так і на велику). Тобто якщо коректні дані подаються для обробки належним чином налагодженому програмному забезпеченню, то їх обробка буде відбуватись кожного разу однаково, як це передбачено в алгоритмі, і на виході не буде помилок. Це зміщує акцент аудиторської роботи на перевірку правильності й цілісності даних, які вводяться, і, що найбільш складно, на правильність функціонування програм.

Сучасні тенденції виглядають так, що майбутнє аудиторської професії — не за "господарським контролем", або "аудитом" як перевіркою бухгалтерської звітної інформації, а за комп'ютерним аудитом в широкому значенні. Така діяльність охоплюватиме такі аспекти, які тісно пов'язані з обов'язковим аудитом фінансової звітності, але водночас охоплюють широкий спектр консультаційних послуг, що їх можуть надавати аудитори.

Метою вивчення студентами дисципліни "Комп’ютерний аудит " є оволодіння теорією і практикою комп’ютерних технологій та програмного забезпечення аудиту, набуття навиків аудиторської роботи на підприємствах, що дасть змогу ефективно використовувати  комп’ютерний аудит як механізм зниження ризиків у практичній діяльності.

Предметом навчальної дисципліни "комп’ютерний аудит "  є висвітлення кола питань, які охоплюють розгляд економічної суті, функцій, ролі і сфери застосування аудиту  в  умовах комп’ютерних технологій ; зміст аудиторських понять і термінів; класифікацію комп’ютерного програмного забезпечення ; організацію аудиторської перевірки та формування аудиторського висновку; умови проведення окремих видів комп’ютерного аудиту, методології видів комп’ютерного аудиту; особливості аудиту підприємств, які застосовують комп’ютерні інформаційні системи, налагодження комп’ютеризованих процедур аудиту та внутрішнього контролю.

Завдання курсу полягає у вивченні сутності та ролі комп’ютерного аудиту,  набутті вмінь проводити аудиторську перевірку з допомогою комп’ютерних технологій для чого необхідно знати:

  1.  застосування інформаційних технологій в економіці підприємства;
  2.  законодавство України про аудит;
  3.  сутність аудиту та його організація;
  4.  комп’ютерні системи бухгалтерського обліку,

вміти:

  1.  перевіряти алгоритми комп'ютерних облікових систем клієнтів і консультування з питань їх належної побудови;
  2.  аналізувати великі масиви фінансових і оперативних
    даних в електронному вигляді спеціальними програмними засобами з метою їх підтвердження і виявлення шахрайства;
  3.  проводити аналіз фінансових показників клієнта та їх прогнозування за допомогою потужного математичного апарату економічного моделювання та відповідного програмного забезпечення;
  4.  допомагати клієнту налагодити роботу з питань забезпечення інформаційної безпеки.

Метою проведення практичних занять є освоєння студентами теоретичних знань з предмету “Комп’ютерний аудит” і набуття практичних навичок через розв’язування задач з практики комп’ютерного аудиту та розгляд конкретних нормативних документів та стандартів з дисципліни „Комп’ютерний аудит”. Розроблений опорний конспект лекцій для студентів денної форми навчання спеціальності 6.030509 „Облік і аудит” відповідають навчальному плану підготовки бакалаврів та затвердженим програмам з навчальної дисципліни „Комп’ютерний аудит”.

Тема 1. Аудит в умовах застосування комп'ютерних облікових систем

1.Аудит в умовах КІСП (комп'ютерна інформаційна система підприємства) і КСБО.

2.Планування аудиторських процедур у середовищі КІСП

3.Засоби і методи контролю в умовах КІСП.

4.Тестування програмного забезпечення.

1.Аудит в умовах КІСП і КСБО.

Організація аудиту в умовах комп'ютерної обробки даних потребує перевірки функціонування самої автоматизованої інформаційної системи шляхом тестування засобів контролю, які діють у цій системі.

Міжнародні стандарти аудиту виділяють два поняття, пов'язані із використанням інформаційних технологій на підприємствах — середовище комп'ютерних інформаційних систем і середовище комп'ютерних інформаційних технологій.

Середовище комп'ютерних інформаційних систем (Computer information systems (CIS) environment) наявне тоді, коли комп'ютер будь-якого типу або розміру використовується суб'єктом господарювання для обробки фінансової інформації, суттєвої для аудиторської перевірки, незалежно від того, чи цей комп'ютер використовується самим суб'єктом господарювання або третьою стороною. Середовище інформаційних технологій (IT environment) — це політика і процедури, які застосовує суб'єкт господарювання і ІТ-інфраструктура (технічні засоби, операційні системи тощо), а також прикладне програмне забезпечення, що він використовує для забезпечення господарської діяльності й досягнення стратегічних цілей бізнесу. Очевидно, перше стосується КСБО, друге — КІСП.

В умовах застосування КІСП і КСБО організація і методика проведення аудиту суттєво змінюється, оскільки здійснення її за методиками, орієнтованими на паперовий облік, не дає необхідного результату. Застосування КІСП впливає:

  1.  на процедури, які використовує аудитор в процесі
    отримання достатнього уявлення про системи бухгалтерського обліку і внутрішнього контролю підприємства;
  2.  на процес оцінки властивого ризику {inherent risk) і
    ризику системи засобів контролю (control risk);
  3.  на розробку і здійснення аудитором тестів системи
    контролю і процедур перевірки по суті, необхідних для
    досягнення мети аудиту — формування аудиторського
    висновку.

На практиці можуть виникнути такі можливі варіанти застосування комп'ютерів в обліку та аудиті (табл. 1.1).

Таблиця 1.1. Можливі ситуації при аудиті

Варіанти

Підприємство-клієнт

Аудитор

1

Використання комп'ютерних інформаційних технологій

Ні

Так

2

Використання комп'ютерних інформаційних технологій

Так

Ні

3

Використання комп'ютерних інформаційних технологій

Так

Так

Проведення аудиту в умовах використання комп'ютерних систем (варіанти 2, 3) регламентується Міжнародним стандартом № 401 "Аудит в Середовищі комп'ютерних інформаційних систем" і низкою відповідних Положень про міжнародну аудиторську практику, які розкривають різні аспекти проведення аудиту в середовищі комп'ютерних інформаційних систем, дають оцінку аудиторських ризиків, а також встановлюють вимоги до знань аудиторів про комп'ютерні інформаційні системи. Метою цих нормативів є встановлення стандартів і надання рекомендацій про процедури, які необхідно використовувати при проведенні аудиту в умовах комп'ютерних інформаційних систем.

Проф. В.П. Завгородній поділяє засоби і методи, які застосовуються для аудиторської перевірки в складних інформаційних системах, на такі групи (рис. 1.1).

Рис. 1.1. Групи методів перевірки в складних інформаційних системах

За такою схемою сьогодні працюють всі великі світові аудиторські компанії. В Україні комп'ютерна техніка сьогодні є лише допоміжним інструментом під час проведення аудиту і в безпосередньому процесі аудиторської перевірки використовується вкрай рідко. Це пов'язано з багатьма причинами, основними з яких є значні капіталовкладення, необхідність спеціальних знань та велика різноманітність облікових систем обробки даних, що їх використовують підприємства-клієнти. Деталізувати способи і методи використання комп'ютерної техніки у самому процесі проведення аудиторських процедур (тобто використання спеціальних програмних засобів), можна за допомогою такої схеми (рис. 1.2).

Процедури аудиторської перевірки поділяються на три великі групи: тестування засобів контролю, аналітичні процедури та детальні перевірки (процедури по суті). При застосуванні двох останніх типів процедур можна використовувати спеціальне програмне забезпечення, що значно збільшує надійність отриманих результатів та ефективність виконуваної роботи.

Рис. 1.2. Методи перевірки в складних інформаційних системах за допомогою спеціальних програмних засобів

Проведення аудиту в умовах автоматизованих систем обліку залежить від таких факторів: рівня автоматизації бухгалтерського обліку та контролю, наявності методик проведення автоматизованого аудиту, ступеня доступності облікових даних, складності обробки інформації. При цьому велике значення мають власні характеристики системи обробки даних, тому що вони впливають на ступінь розробки бухгалтерської системи, тип внутрішнього контролю, вибір виду перевірок, на підставі яких можна визначити характер, тривалість і обсяги аудиторських процедур.

2.Планування аудиторських процедур у середовищі КІСП

Під час планування аудиторських процедур, на які може впливати середовище КІСП підприємства, що перевіряється, аудитор зобов'язаний розглянути, яким чином використання КІСП впливає на аудит, і оцінити значущість {significance) і складність {complexity) процесів функціонування КІСП, а також доступність даних КІСП для використання в аудиті.

Далі аудитор вивчає структуру КІСП клієнта, зокрема ступінь концентрації або розподілу комп'ютерної обробки даних в рамках суб'єкта господарювання, її вплив на розподіл обов'язків виконавців і доступність комп'ютерних даних для безпосереднього вивчення. Первинні документи, комп'ютерні файли й інша інформація, необхідна для складання аудиторських доказів, можуть існувати тільки протягом короткого періоду або у форматі, доступному тільки для перегляду на комп'ютері. У цьому випадку аудитор застосовує спеціальні методи дослідження інформації.

Під час перевірки аудитору слід вивчити й оцінити систему документообігу економічного об'єкта, порядок формування, реєстрації, збереження, обробки документів і трансформації первинних документів у систему записів на бухгалтерських рахунках. Варто з'ясувати місця виникнення первинної інформації і ступінь автоматизації її збору і реєстрації. При використанні спеціальних засобів автоматизації збору і реєстрації інформації (датчиків, лічильників, ваг, сканерів штрихових кодів тощо) аудитор повинний переконатися в тому, що тестування цих пристроїв фахівцями проводиться регулярно, при виявленні відхилень результати належним чином оформлюють і вживають відповідних заходів.

Перше уявлення про рівень автоматизації складання первинних документів аудитор може отримати і при знайомстві зі схемою розташування автоматизованих робочих місць (АРМ) на підприємстві. АРМ, розташовані в місцях виникнення первинної інформації (на складах, у цехах), дають змогу скласти первинний документ у момент здійснення операції, зафіксувати інформацію на машинному носії, передати документ у бухгалтерію для подальшої обробки. Відсутність АРМ у виробничих підрозділах підприємства свідчить або про ручний спосіб складання документів з подальшою передачею їх у бухгалтерію, або про те, що документи формуються в самій бухгалтерії, що характерно для підприємств із невеликим обсягом документів.

Аудитор зобов'язаний оцінити, наскільки модель документообігу, реалізована програмним забезпеченням КІСП, раціональна і ефективна для об'єкта, який перевіряють. Великі підприємства звичайно працюють із застосуванням моделі повного документообігу. Для них важливо проаналізувати розподіл функцій між службами оперативного управління і бухгалтерією, інформаційні зв'язки різних підрозділів з бухгалтерією, простежити рух окремих документів і їх взаємозв'язок, зрозуміти, як підтримується система міждокументальних зв'язків, де зберігаються електронні копії документів, і як забезпечений до них доступ облікових працівників.

На підприємствах, які автоматизують тільки бухгалтерський облік, аудитору необхідно звернути увагу на такі моменти:

  1.  дотримання часового інтервалу між виписуванням
    документа, здійсненням операції і відображенням її в обліку;
  2.  можливість збереження документів в системі після їх
    роздрукування;
  3.  зв'язок документів і сформованих бухгалтерських
    проводок.

Аудитор повинен дати характеристику способам введення даних і формування записів про господарські операції. Автоматизована й автоматична генерація бухгалтерських записів і проводок на основі типових операцій і електронних форм документів часто дозволяє уникнути багатьох помилок, що неминучі при ручному веденні й формуванні проводок. Слід вивчити організацію збереження інформації про господарські операції, можливість швидкого одержання інформації про господарські операції, документи і виведення її на друк.

З іншого боку, у комп'ютерному обліку ряд операцій, таких як нарахування відсотків, закриття рахунків, визначення фінансового результату, може ініціюватися самою програмою. Отже, за такими операціями може не бути будь-яких організаційно-розпорядчих або виправдовувальних документів. У такому разі обов'язок аудитора — ретельно перевірити правильність алгоритмів розрахунків. Помилка, закладена в алгоритм розрахунку і повторена багато разів в повторюваних господарських операціях, може спотворити результат господарської діяльності. У процесі перевірки алгоритмів розрахунку сум при веденні господарських операцій контролюється також правильність формування проводок. Особливо ретельно перевіряються алгоритми операцій, що ініціюються самою програмою.

Аудитору слід перевірити алгоритм на відповідність чинному законодавству і обліковій політиці підприємства і з'ясувати можливість коригування алгоритму у випадку зміни порядку ведення бухгалтерського обліку, податкового або іншого законодавства. Як вже наголошувалося, тестування алгоритмів ставить високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів мову програмування (або вбудовану мову для створення облікових алгоритмів — макромову) конкретної програми. Це дасть йому змогу не тільки провести тестування алгоритму на конкретних даних, а й розібратися в правильності його налагодження.

В обов'язки аудитора входить оцінка можливостей системи, що використовується клієнтом щодо створення і формування нових форм внутрішньої або зовнішньої звітності: розгляд механізмів роботи з первинною інформацією, можливостей її розшифровки і швидкого виявлення і виправлення помилок; проведення тестування результатів обробки, щоб знайти, наприклад, неправильно розраховане сальдо на рахунках; тестування перенесення облікових даних в звітність, особливо в тому випадку, якщо показники форми звітності в системі заповнюються "вручну" перенесенням зі сформованих програмою стандартних звітів (облікових регістрів).

3.Засоби і методи контролю в умовах КІСП.

Особлива увага приділяється перевірці надійності засобів внутрішнього контролю в середовищі комп'ютерної обробки даних. Облікова політика, що орієнтується на автоматизовану інформаційну систему бухгалтерського обліку, має обов'язково передбачати елементи внутрішнього контролю. Аудитор повинен виявити слабкі місця стосовно контролю системи комп'ютерного обліку — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи перевірки цілісності даних і відсутності комп'ютерних вірусів.

Засоби і методи контролю в КІСП значно відрізняються один від одного: деякі з них покликані запобігати помилкам (preventive), а призначення інших — виявляти та виправляти їх (detective). К. Кловз розділяє засоби і методи контролю залежно від того, чи аудит проводиться з перевіркою комп'ютерних процесів обробки даних (audit through the computer) чи без нього (audit around the computer)1'. Інші автори поділяють такі засоби контролю відповідно на автоматизовані (automated) або ручні (manual).

Е. Вульф поділяє засоби контролю (controls) на 2 основні групи:

1) засоби контролю прикладних програм (application controls). Це засоби контролю всередині прикладної програми, які перевіряють точність вхідних даних, обробки даних та достовірність облікових вхідних даних. Вони становлять комбінацію ручних та комп'ютерних процедур. Вони не є окремими програмними продуктами, а є частинами комп'ютерних програм, які допускають здійснення процедур контролю;

2) загальні засоби контролю (general controls). Ці засоби контролю забезпечують середовище прикладних програм та ефективну діяльність програмних процедур. Загальні засоби контролю, в свою чергу, поділяються на адміністративні засоби (administration controls), які попереджають ризики того, щоб повноваження з обробки інформації не концентрувались в одних руках, дані зберігались децентралізовано і на безпечних носіях інформації; а також на засоби контролю розробки (system development control), які передбачають обов'язкове використання стандартів і стандартних процедур (де це можливо) при творенні комп'ютерних інформаційних систем, створення засобів контролю доступу тощо.

Види засобів контролю інформаційних систем за Дж. Чемплейном такі:

  1.  засоби контролю оточення (environmental controls) —
    це політика, стандарти, організація відділу IT, а також
    фінансове становище сервісних організацій і постачальників, надані ними гарантії, умови сервісних контрактів;
  2.  засоби фізичного контролю (physical security controls) — фізичний захист апаратного забезпечення;
  3.  засоби логічного контролю (logical security controls) —
    вбудовані в операційну систему та прикладні програмні
    засоби для перешкоджання нелегальному доступу до да
    них та навмисному або випадковому їх пошкодженню;
  4.  засоби контролю функціонування інформаційної системи (information system operating controls), які допомагають переконатися, що інформаційна система працює
    ефективно, тобто належним чином виконує свої функції.

Можуть бути й інші класифікації засобів і методів контролю комп'ютерних систем. Так, наприклад, Сп. Пікетт та Дж. Вінтен поділяють їх на такі, що забезпечують підтримку комп'ютерної системи (support), засоби контролю прикладних програм (applications) та стандарти, яких треба дотримуватись при розробці комп'ютерних систем.

Відповідно до Міжнародних стандартів аудиту12, класифікація засобів і методів контролю КІС може бути узагальнена за допомогою такої матриці (рис. 1.3).

Відповідно до Міжнародних стандартів аудиту, загальні засоби ІТ-контролю (General IT-controls) — це методики і процедури, які стосуються багатьох прикладних програм і забезпечують ефективне функціонування засобів контролю прикладних програм, допомагаючи гарантувати постійне належне функціонування інформаційних систем.

Загальні засоби контролю (general controls)

Засоби контролю прикладних програм (application controls)

Засоби контролю доступу і безпеки

Адміністративні засоби контролю (обмеження фізичного доступу до комп'ютерних засобів, стандарти функціонування комп'ютерних систем, розробка заходів на випадок стихійних? лих, пожеж тощо, організація відділу IT, організація резервного копіювання інформації)

Засоби контролю доступу (обмеження доступу на рівні паролів, іншої ідентифікації користувача тощо, архівне копіювання даних), контроль цілісності даних

Засоби контролю обробки інформації

Надійність сервісного обслуговування інформаційної системи, засобів контролю розробки і модифікації програм

Засоби контролю функціонування інформаційної системи (контролю введення, контролю обробки та контролю виведення інформації)

Рис. 1.3. Матриця засобів контролю КІС відповідно до Міжнародних стандартів аудиту

Загальні засоби ІТ-контролю звичайно включають засоби контролю над центрами даних і мережевими операціями; придбання системного програмного забезпечення, його зміну і підтримку; безпеку доступу; а також придбання прикладних програм, їх розвиток і підтримку.

Натомість, засоби контролю прикладних програм (application controls) стосуються алгоритмічно реалізованих механізмів контролю в конкретному програмному забезпеченні.

Деталізована класифікація засобів і методів контролю КІСП наведена на рис. 1.4.

Рис. 1.4. Вбудовані засоби контролю в КІСП та КСБО

Засоби контролю модифікації — процедури, розроблені, щоб запобігти або знайти некоректні зміни до комп'ютерних програм. Доступ може обмежуватися такими засобами контролю, як, наприклад, використання окремих програмних бібліотек для реальних операцій та розробки програми і використання спеціалізованих програмних бібліотек. Це є важливим для того, щоб зміни до програм були належним чином відстежені, проконтрольовані і задокументовані.

Засоби контролю доступу — методи і процедури, розроблені для обмеження доступу до онлайнових термінальних пристроїв, програм і даних. Засоби контролю доступу складаються з "ідентифікації користувача" і "авторизації користувача"14. "Ідентифікація користувача" звичайно намагається ідентифікувати користувача через перевірку його певних унікальних параметрів при початку сеансу роботи (logon) — ім'я доступу, паролі, картки доступу або біометричні дані. "Авторизація користувача" складається з правил доступу, щоб визначити комп'ютерні ресурси, до яких може мати доступ кожний користувач. Зокрема, такі процедури розроблені, щоб запобігти або знайти: несанкціонований доступ до онлайнових термінальних пристроїв, програм і даних, введення несанкціонованих операцій, несанкціоновані зміни файлів даних, використання комп'ютерних програм персоналом, якому це заборонено, використання недозволених комп'ютерних програм. Наприклад, доступ до даних з заробітної плати працівникам може бути наданий лише певним особам.

Засоби контролю фізичної безпеки — стосуються фізичної безпеки активів, включаючи відповідні заходи, як, наприклад, забезпечення безпечного доступу до активів і записів; авторизація доступу до комп'ютерних програм і файлів даних.

Загальні засоби контролю КІСП перевіряються аудитором як під час проведення аудиту без допомоги комп'ютера, так і з використанням комп'ютерів і комп'ютеризованих методів аудиту.

Традиційний підхід до тестування засобів контролю проявляється під час проведення аудиту без допомоги комп'ютера (auditing around the computer). Цей підхід фокусується на введенні інформації в комп'ютерну систему, отриманні вихідних даних та на ручних процедурах перевірки засобів контролю. Комп'ютерні засоби контролю обробки даних при цьому перевіряються непрямим шляхом через повторне виконання операцій вручну. Тестування входів, виходів інформації та ручної обробки буде включати такі процедури, як підтвердження (vouching), перерахунок (recomputation) та звіряння (tracing)15. Первинні документи при цьому перевіряються на їх легітимність, авторизацію, точність та повноту запису, а потім звіряються з відповідними вихідними даними. Обчислювальні процеси, які відбуваються в середовищі комп'ютерної системи, перевіряються при цьому вручну шляхом перерахунку, а дані, які використовуються в цих обчисленнях, наприклад, прайс-листи, підтверджуються відповідними затвердженими документами або внутрішніми положеннями.

Цей підхід до тестування бухгалтерських систем може бути достатньо ефективним. Якщо протестувати певну кількість даних, це надасть якусь впевненість в тому, що система працює правильно. Проте питання полягає в тому, що це не є найбільш ефективний метод для отримання такої впевненості. Наприклад, система може мати потужні вбудовані програмні засоби контролю для перевірки та коригування даних (засоби контролю прикладних програм). Замість того, щоб перевіряти велику кількість даних, аудитор просто може перевірити ці засоби контролю, тобто впевнитися в тому, що вони наявні і функціонують.

Аудит за допомогою комп'ютера (auditing with the computer) покликаний в першу чергу перевіряти засоби контролю прикладних програм, до яких належать засоби контролю вхідних даних, що здійснюють формальний і логічний контроль даних при їх введенні в програму вручну або з інших програм (їх ще називають засобами контролю інтерфейсів); засоби контролю обробки даних, які забезпечують їх цілісність та інтегрованість (наприклад, забезпечують правильність розрахунку залишків або запобігають тому, щоб дані за подібними назвами різних контрагентів додавались); а також засоби контролю вихідних даних (правильність формування звітів і передачі інформації в інші програми).

Після того, як вбудований засіб контролю виявлено, слід протестувати його ефективність. Для цього аудитор спочатку має проглянути технічну документацію на програму. Цей огляд повинен супроводжуватись обговоренням окремих питань з працівниками відділу комп'ютерного забезпечення. Аудитор повинен також впевнитись в тому, що ніяких змін до програмного забезпечення не було внесено, а якщо такі зміни і були проведені, то лише після їх відповідного затвердження.

Програмні засоби контролю можуть інколи бути перевірені шляхом огляду їх функціонування за попередній період. Наприклад, системні звіти (system logs) є доказом того, що цей засіб контролю є і працює ефективно. Приклад такого системного звіту, який фіксує певні проблеми, що трапились під час введення операцій відвантаження продукції, показано в табл. 1.2. Цей log-файл містить інформацію про всі випадки, коли операцію почали вводити, але з якихось причин не змогли завершити.

Таблиця 1.2. Системний звіт скасування спроб відвантаження товару

№ замовлення

Код покупця

Код виро-бу

№ рядка системного журналу

Код помилки

Повідомлення

32564

354685

0038497

0132

01

Виробу     немає в запасі

53627

635497

0004567

0145

02

Неправильний код виробу

32569

465796

0038497

0159

01

Виробу    немає в запасі

35626

376444

0023894

0193

06

Перевищення кредитного ліміту покупця

73462

387429

0034782

0234

08

Цьому покупцю товари тимчасово не відпускаються

Проте деякі програмні засоби контролю не мають такого "друкованого доказу" і тому необхідно використовувати інші методи перевірки їхнього функціонування й ефективності. Це можна зробити, наприклад, шляхом введення тестових даних в систему і перевірки правильності отриманого результату (детальніше розглянуто далі).

Іншим способом тестування програмних засобів контролю системи може бути перевірка програмної логіки. Завдання цього тестування — переконатись, що система робить те і тільки те, що закладено в документації і що вона робить це правильно. Проте воно висуває високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів мову програмування конкретної програми. Це дасть йому змогу не тільки протестувати алгоритм на конкретних даних, а й розібратися в правильності його налагодження, наприклад при використанні шаблонів для введення типових операцій, доступ до зміни яких має непрофесійний користувач — бухгалтер "1С: Бухгалтерия". Процес дещо полегшується, якщо програма правильно розроблена та до неї наявна документація, в якій показано відповідні блок-схеми із зображенням всього процесу обробки даних. Зазначимо, що деякі поширені програмні продукти для автоматизації бухгалтерського обліку налагоджуються за допомогою специфічних мов програмування, що оперують поняттями бухгалтерського обліку. Це робить алгоритми зрозумілими для бухгалтерів і аудиторів, які не мають спеціальної підготовки. Як приклад наведемо діалогову форму введення документа "Видаткова накладна", що міститься в українській конфігурації програми "1С: Бухгалтерия 7.7", що пропонується фірмою ABBYY Software, а також фрагмент алгоритму до цієї накладної, що забезпечує формування проводок (рис. 1.5).

Рис. 1.5. Видаткова накладна — діалогова форма документа

Як бачимо з наведеного прикладу, фахівець з бухгалтерського обліку або аудитор, навіть не маючи спеціальних знань з мови програмування програми, може зрозуміти, що за допомогою цього документа — видаткової накладної, можна формувати бухгалтерські документи з реалізації продукції, товарів або послуг з одночасним розрахунком податку на додану вартість та списанням собівартості товарів.Відстеження комп'ютерної логіки, особливо покрокове, показує, які інструкції виконує комп'ютер і в якій послідовності. Воно дає змогу, наприклад, виявити ділянки коду, не виконані при роботі програми. Такий код здатний стати джерелом зловживань. Наприклад, під час нормальної обробки не виконується ділянка коду в програмі зарплати. Аудитор може припустити, що логіка коду заражає систему вірусом, якщо в поточний період немає транзакцій з зарплати.

Покадрова динаміка документує статус виконання програми, проміжні підсумки або дані транзакцій (операцій) на певний момент. Програмісти часто використовують цю процедуру для налагодження програм. "Зйомка" відбувається при виконанні конкретних умов, по виконанні конкретної команди або для якоїсь конкретної транзакції (відміченої позначкою — тегом). Транзакція з тегом (tag) дає змогу вивчати вплив конкретних транзакцій на інші файли. Так, можна виявити проблеми, порівнюючи підсумки відомих даних перевірки на конкретних етапах обробки, скажімо, заробітну плату до і після утримання податків.

Часто закладена в проектну документацію система контролю не відповідає фактичному його здійсненню в процесі обробки облікової інформації. Тому аудитору слід переконатися у відповідності проекту фактичному обліковому процесу, перевірити правильність обробки інформації. Технологічний процес має забезпечити автоматизацію контролю правильності обробки інформації та виправлення виявлених помилок. Виявлені в період обробки за окремими стадіями технологічного процесу помилки мають відображатися у відповідних актах. За цими актами аудитор може відтворити і документально перевірити процес обробки інформації, з'ясувати, які помилки мають постійний характер, чим це зумовлено.

Прикладом вбудованих засобів контролю вихідних даних може бути приклад обмеження перегляду інформації за рахунками для різних користувачів, впроваджених компанією "ТенТек" в бухгалтерії Києво-Могилянської академії (використовується спеціально розроблена конфігурація для програми "1С:Предприятие 7.7").

У конфігурації створені особливі довідники "Користувачі" і "Рахунки". Для кожного користувача адміністратор системи або головний бухгалтер задає перелік бухгалтерських рахунків, з якими йому дозволено працювати. Є довідник "Рахунки", який заповнюється рахунками для кожного користувача (в цьому випадку — користувач з ім'ям Nagrebelna), до яких доступ дозволений (рис. 1.6.).

Рис. 1.6. Список рахунків, дозволених для коригування і перегляду окремим працівником

Дані заборонених рахунків блокуються в різних звітах по-різному. У звітах, в яких передбачена можливість вибору рахунку, за яким цей звіт формується, перевірка здійснюється в момент завдання рахунку. Наприклад, в звіті "Оборотно-сальдова відомість за рахунком", якщо ми спробуємо обрати заборонений рахунок, програма повідомить про неможливість такого вибору і поверне нас в діалог вибору рахунку. У звітах, які формуються за переліком рахунків за замовчуванням, дані будуть друкуватися лише за переліком рахунків, доступних даному користувачу. Наприклад, у звіті "Оборотно-сальдова відомість" рядки, в яких виводяться дані за цими рахунками, відображаються не чорним як завжди, а сірим кольором. А замість цифр виводяться символи "х". У наведеному прикладі відображено, яку інформацію отримає бухгалтер з обліку основних засобів і матеріалів (Nagrebelna), якщо спробує побудувати оборотно-сальдову відомість в цілому за всіма рахунками підприємства .

Крім того, у тих звітах, в яких дані про заборонені рахунки виводяться сірим кольором і позначаються "х", неможливо для цих рядків отримати розшифровку даних.

Таким чином, найбільш точним методом оцінки засобів контролю, вбудованих у програмне забезпечення бухгалтерського обліку, є безпосереднє вивчення аудитором програмних алгоритмів. Проте це завжди потребує значного часу та зусиль, а іноді є й зовсім неможливим через, наприклад, брак і в аудитора, і в експерта знань особливостей мови програмування конкретної програмно-апаратної системи. До того ж, багато комп'ютерних програм ("Галактика", "Парус") за своєю побудовою є жорстко структурованими, зі специфічними алгоритмами, що в принципі не можуть бути переглянуті аудитором, який не має початкового (source) тексту програми.

1.4.Тестування програмного забезпечення.

У цьому випадку аудитори використовують різноманітні способи тестування програмного забезпечення, при яких сукупність програмних алгоритмів розглядається як "чорний ящик". Окремі такі методи наводяться у Міжнародному положенні про аудиторську практику № 1009 "Комп'ютеризовані методи аудиту"16 (в англомовній редакції 2005 р. скасоване). У ньому зазначається, що методи тестових даних використовуються під час аудиторської перевірки шляхом введення даних (наприклад, набору господарських операцій) в комп'ютерну систему суб'єкта і порівняння отриманих результатів із заздалегідь визначеними. Аудитор може використовувати тестові дані:

  1.  для тестування конкретних засобів контролю в комп'ютерних програмах, таких як інтерактивний пароль і контроль доступу до даних;
  2.  тестування господарських операцій, відібраних з раніше оброблених операцій, або сформульованих аудитором
    для перевірки окремих характеристик процесу обробки, що здійснюється комп'ютерною системою суб'єкта;
  3.  тестування господарських операцій, які використовуються в інтегрованих тестових підсистемах, де застосовується фіктивний модуль (наприклад, відділ або службова особа), через який вони проходять під час звичайного циклу обробки.

На практиці українські аудитори, спираючись на свій досвід, складають набір облікових задач з різних галузей господарської діяльності, що містять десятки певних уявних господарських операцій, які подаються на вхід програмної системи, що перевіряється (рис. 1.7).

Тестові дані (test data TD) — це бухгалтерські документи, операції і проводки, що не відображають реальних фактів господарського життя, а спеціально підготовлені аудитором для перевірки програмних алгоритмів, реалізованих в обліковій системі підприємства-клієнта.

Рис. 1.7. Загальний підхід до тестування програмного забезпечення

Тестові дані вводять в КІСП і порівнюють фактичні результати з прогнозом аудитора. Якщо контрольні підсумки дорівнюють фактичним, правильність роботи програми визнається доведеною. Аудитор може застосовувати спеціальне програмне забезпечення, що створює тестові дані (генератор тестових даних). Звичайно частину таких уявних тестових господарських операцій та документів аудитор навмисне робить некоректними з погляду законодавства та загальноприйнятої бухгалтерської практики. При цьому аудитор знає, який саме результат має видати програма. Наприклад, для перевірки правильності нарахування прибуткового податку аудитор може ввести в комп'ютер клієнта значення певної суми заробітної плати та переконатися в правильності отриманого результату. Якщо результат, який на виході надає програмна система клієнта, не збігається з розрахунками аудитора, це є підставою для проведення ретельного дослідження причин та з'ясування можливих наслідків таких розходжень, включно з вивченням алгоритмів щодо конкретної ділянки обліку.

Метод тестових (контрольних) даних може бути ефективним у наступних ситуаціях аудиту:

  1.  при тестуванні засобів контролю вхідних даних, включаючи процедури підтвердження даних;
  2.  при тестуванні логіки обробки даних та засобів контролю з метою підтвердження правильності головних файлів;

3)при тестуванні розрахунків, здійснених всередині програм, зокрема: визначення відсоткових ставок, знижок, комісій, підрахунків зарплати чи амортизації;

4) при тестуванні ручних процедур чи засобів контролю, що стосуються комп'ютерної системи, особливо процедур з вхідними та вихідними даними.

Наведена вище технологія тестування в цілому відповідає методиці, описаній в Міжнародних положеннях про аудиторську практику, хоча у світовій практиці аудиту ширше використовується комплексний підхід до тестування (Integrated test facility approach ITF), який включає я-к використання тестових операцій, так і створення певних уявних об'єктів аналітичного обліку (дебіторів, кредиторів, працівників, матеріальних цінностей тощо)17. При цьому звичайно в програму вводять набір даних, що містить як реальні, так і уявні записи (рис. 1.8).

 

Рис. 1.8. Послідовність здійснення комплексного підходу до тестування облікового програмного забезпечення

У всіх випадках аудиторські процедури слід проводити не з оригінальними файлами суб'єкта перевірки, а з копіями цих файлів, оскільки будь-які їх зміни, що здійснюються аудитором, та можливе пошкодження не мають впливати на інформацію в системах комп'ютерної обробки даних. У тому випадку, коли контрольні дані обробляються в рамках звичайного процесу обробки інформації суб'єкта, аудитор повинен пересвідчитись в тому, що контрольні господарські операції вилучені з облікових записів підприємства.

Положення про міжнародну аудиторську практику виділяють особливості роботи з різними комп'ютерними системами при проведенні аудиту. Це положення № 1001 "Середовище IT — автономні персональні комп'ютери", № 1002 "Середовище IT — інтерактивні комп'ютерні системи", № 1003 "Середовище IT — системи баз даних"18 (в англомовній редакції 2005 року всі скасовані).

Міжнародне положення № 1001 "Середовище IT — автономні персональні комп'ютери" регламентує особливості проведення аудиту на підприємствах, які використовують окремі персональні комп'ютери. Застарілі бухгалтерські системи 1970—1980-х років (іноді їх називають успадкованими), як правило, складаються з автономних підсистем (зарплата, постачання), які виводять дані на друк. З підсистем бухгалтери беруть підсумкові цифри для проводок в Головній книзі. Потім система Головної книги готує фінансові звіти. Такі комплекси працюють в пакетному режимі: дані збираються у файлі транзакцій і періодично вводяться в головний файл. Порядок розрахунку і звірки контрольних сум за групами такий: введення — обробка — висновок. Подібна схема досі застосовується на багатьох підприємствах і в бюджетних організаціях. Особливість застосування персональних комп'ютерів і окремих АРМ полягає в тому, що для керівництва підприємства-клієнта може бути неможливим або недоцільним з погляду співвідношення витрат і результатів впровадити належні засоби контролю з метою зменшення ризику не виявлення помилок до мінімального рівня. Тому аудитор вправі припустити, що в таких системах ризик системи контролю високий. Рівень же централізації обробки і збереження даних може бути різним і залежить від чисельності бухгалтерії, оснащеності її комп'ютерами, розподілу робіт між персоналом і багатьох інших факторів. На малих підприємствах, де обробка даних виконується одним бухгалтером, програмне забезпечення КСБО й інформаційна база зосереджені на одному комп'ютері. Однак за більш численної бухгалтерії мова йде вже про багатокористувацькі системи, що реалізують роботу декількох користувачів з інформаційною базою обліку.

У цілому, КСБО, в яких використовуються тільки окремі персональні комп'ютери, є менш складними, ніж мережеві КСБО. У першому випадку прикладні програми можуть бути легко розроблені користувачами, що володіють основними навичками обробки даних. У таких випадках контроль за процесом системної розробки (наприклад, адекватна документація) і операціями (наприклад, доступ до контрольних процедур), що суттєві для ефективного контролю у великому комп'ютерному середовищі, не може розглядатися розробником, користувачем або керівниками як настільки ж важливий або ефективний з погляду співвідношення витрат і результатів. Проте оскільки дані були оброблені комп'ютером, користувачі такої інформації можуть без відповідних на те підстав надмірно покладатися на облікову інформацію. Оскільки персональні комп'ютери орієнтовані на індивідуальних кінцевих користувачів, точність і вірогідність підготовленої фінансової інформації буде залежати від засобів внутрішнього контролю, встановлених керівництвом і прийнятих користувачем. Наприклад, якщо комп'ютером користуються декілька людей без належного контролю, то програми і дані одного користувача, що зберігаються на вбудованому носії інформації, можуть стати предметом недозволеного користування, зміни або шахрайства з боку інших користувачів.

Міжнародне положення № 1002 "Середовище IT — інтерактивні комп'ютерні системи" регламентує особливості проведення аудиту на підприємствах, які використовують КІСП з модулями оперативного обліку господарських операцій в реальному режимі часу. Це актуально насамперед для таких сфер бізнесу, як банки, мобільна телефонія, електронна комерція тощо.

Особливістю таких систем є розвинені вбудовані засоби контролю (controls) під час здійснення господарських операцій. При введенні даних в інтерактивному режимі вони звичайно піддаються негайній перевірці. Непідтверджені дані не будуть прийняті, і на екрані термінала висвітиться повідомлення, що дає можливість користувачу виправити дані та відразу ж ввести їх повторно. Наприклад, якщо користувач вводить неправильний порядковий номер товарно-матеріальних цінностей, буде виведено повідомлення про помилку, що надасть користувачу можливість ввести правильний номер.

Аудиторські процедури, виконувані одночасно з інтерактивною обробкою, можуть включати перевірку відповідності засобів контролю за інтерактивними прикладними програмами. Наприклад, це може бути зроблено за допомогою введення тестових операцій через пристрій термінала або за допомогою аудиторського програмного забезпечення. Аудитор може використовувати такі тести для того, щоб підтвердити своє розуміння системи або для перевірки засобів контролю, таких як паролі та інші засоби контролю доступу.

Є певні особливості систем, що працюють у реальному масштабі часу, які створюють труднощі як для користувача, так і для аудитора. В американських публікаціях зазначається, що із системами, що працюють у реальному масштабі часу, пов'язані чотири фактори, що створюють додаткові труднощі для контролю.

  1.  введені дані звичайно не згруповані, тому комп'ютер
    на система сприймає невпорядковані дані різних видів, що вводяться;
  2.  на комп'ютері здійснюється швидка перевірка документів. Наприклад, засоби контролю обробки даних системи, що працює у реальному масштабі часу, можуть функціонувати без будь-якої документації. Подібно до цього робочі програми, команди можуть бути представлені у формі візуального зображення без роздруковування результатів і стандартної форми;
  3.  системи, що працюють у реальному масштабі часу,
    збільшують і ускладнюють взаємозв'язок секцій системи;
  4.  висока продуктивність систем, що працюють у реальному масштабі часу, значно збільшує швидкість обробки
    інформації, що ускладнює процес контролю.

Особливості інтерактивних комп'ютерних систем обумовлюють велику ефективність проведення аудитором аналізу нових інтерактивних бухгалтерських прикладних програм до, а не після початку експлуатації. Такий попередній аналіз дасть аудитору можливість перевірити додаткові функції, наприклад, детальні списки операцій або функції контролю в межах самої програми. Це також може дати аудитору достатньо часу для того, щоб розробити і випробувати аудиторські процедури до їх проведення.

У Міжнародному Положенні № 1003 "Середовище IT — системи баз даних" зазначаються особливості функціонування комплексних КІСП, які ґрунтуються на єдиній базі (сховищі) даних (data warehouse), дані з якої використовуються різними службами підприємства.

База даних є сукупністю даних, що використовуються багатьма користувачами для різних цілей. Кожен користувач може не знати всіх даних, що зберігаються в базі даних, і способів використання даних для різних цілей. У цілому, індивідуальні користувачі знають тільки про дані, якими вони користуються, і можуть розглядати дані як комп'ютерні файли, що використовуються прикладними програмами.

Системи баз даних складаються, переважно, з двох основних компонентів — бази даних і системи управління базою даних (СУБД). Бази даних взаємодіють з іншими технічними і програмними засобами всієї комп'ютерної системи. Системи баз даних відрізняються двома важливими характеристиками: спільним користуванням даними і незалежністю даних. Оскільки інфраструктура безпеки підприємства відіграє важливу роль у забезпеченні цілісності виробленої інформації, аудитору необхідно розглянути цю інфраструктуру перед перевіркою контрольних засобів. Загалом внутрішній контроль у середовищі баз даних потребує ефективної системи контролю за базою даних, СУБД і прикладними програмами. Ефективність системи внутрішнього контролю залежить великою мірою від характеру завдань адміністрування бази даних і того, як вони виконуються.

Отже, ми з'ясували, які є засоби контролю КІСП та визначили способи перевірки їх ефективності. Таке тестування засобів контролю проводиться для того, щоб визначити ступінь ризику, який потенційно може виникнути при складанні фінансової звітності. Після тестування засобів контролю ризик може бути оцінений як низький, середній та високий, що матиме значний вплив на проведення детальної перевірки.

                            Питання для перевірки

1.Середовище комп’ютерних систем.

2.Аудит в умовах КІСП і КСБО.

3.Методи перевірки в інформаційних системах.

4.Фактори впливу на проведення КА в умовах АСО

5.Планування аудиторських процедур у середовищі КІСП

6.Особливості аудиторської перевірки в умовах функціонування КІСП.

7.Засоби і методи контролю в умовах КІСП.

8. Засоби контролю модифікації

9. Засоби контролю  доступу

10. Засоби контролю  фізичної безпеки

11.Тестування програмного забезпечення.

12.Суть методу тестових даних.

13.Основні положення МСА №1001 «Середовище ІТ—автономні  персональні комп’ютери».

14.Основні положення МСА №1002 «Середовище ІТ—інтерактивні   комп’ютерні системи».

15.Основні положення МСА №1003 «Середовище ІТ—системи баз даних».

16.Основні положення МСА №1009 «Комп’ютеризовані методи аудиту».

17. Основні положення МСА №401 «Аудит в Середовищі комп’ютерних інформаційних систем»

Тема 2. Методологія комп'ютерного аудиту.

2.1.Особливості зміни методології аудиту при застосуванні комп’ютерної техніки.

2.2.Мета і основні елементи методології комп’ютерного аудиту.

2.3.Послідовність проведення аудиту в комп’ютерному середовищі

2.4.Оцінка аудиторського ризику при проведені комп’ютерного аудиту.

2.5.Вимоги до безпеки  інформаційного забезпечення при проведені аудиторських перевірок.

2.6.Фактори впливу на рівень аудиторського висновку при застосуванні комп’ютерних технологій.

2.1.Особливості зміни методології аудиту при застосуванні комп’ютерної техніки.

Впровадження комп'ютерів в обліковий процес суттєво вплинуло на проведення аудиту. При цьому велике значення мають власні характеристики системи обробки даних, тому що вони впливають на характеристику внутрішнього контролю, вибір виду перевірок, на основі яких можна визначити характер, тривалість і обсяги аудиторських процедур.

Питання зміни методології аудиту при застосуванні комп'ютерної техніки досліджувалося багатьма авторами. Проф. В.П. Завгородній, зокрема, зазначав, що "в умовах функціонування інформаційних систем основні принципи аудиту зазнають деяких змін". Проф. Ф.Ф. Бутинець дещо конкретизував це питання, зазначаючи, що аудитору необхідно визначити, як саме впливають на організацію та проведення аудиту використання системи комп'ютерної обробки даних у суб'єкта господарюючого. При цьому всі автори єдині в тому, що сама мета аудиту не змінюється.

Методологія аудиту значною мірою залежить від способу обробки облікової інформації. Всі способи обробки облікової інформації в системі бухгалтерського обліку можна поділити на три види: паперовий, механізований, комп'ютеризований (автоматизований) залежно від виду обчислювальної техніки, що застосовується. При цьому перші два методи можна об'єднати під загальною назвою "без-комп'ютерний спосіб", який об'єднує паперовий та механізований, маючи на увазі не перелік технічних засобів, а саме спосіб їх використання.

При "механізації" обчислювальна техніка є допоміжним засобом для обробки інформації, а при комп'ютеризації технічні засоби стають основним засобом ведення обліку: суттєві зміни відбуваються в процесі збирання, накопичення облікової інформації, її передачі та одержання підсумкових даних. На відміну від "механізації" комп'ютеризація обліку базується на системному вирішенні облікових завдань за допомогою комп'ютерів.

Відповідно до способів обробки облікової інформації аудит теж можна умовно поділити на паперовий, "механізований" та комп'ютерний. При цьому спосіб обробки облікової інформації суттєво впливає на вид аудиту, який проводиться чи міг би проводитися в процесі перевірки фінансової звітності підприємства (рис. 2.1).

Безкомп'ютерний спосіб обробки облікової інформації (паперовий та механізований) пов'язаний з відображенням даних про об'єкти аудиту в первинних документах та облікових регістрах, що отримуються в результаті ручної обробки інформації або обробки за допомогою певної техніки. При цьому дані фіксуються на певних носіях, а інформація, що зафіксована в документах, сприймається візуально.

В умовах паперового обліку при перевірці операцій аудитор проводить суцільну або вибіркову перевірку. Для цього дані з первинних документів порівнюються із записами в звітах, залишки на кінець попереднього періоду — із залишками на початок наступного. Тут аудитор проводить так званий "паперовий" аудит, де комп'ютерна техніка не використовується взагалі

Рис. 2.1. Види аудиту, що використовуються за різних способів обробки облікової інформації

Під механізованим аудитом будемо розуміти використання аудиторами комп'ютера винятково як допоміжного інструмента — наприклад, для оформлення текстів та таблиць в стандартних текстових і табличних редакторах. Як видно з рис. 2.1., паперовий та механізований аудит є характерними для безкомп'ютерного способу обробки облікової інформації, тоді як комп'ютерний аудит — для автоматизованого.

Для виявлення можливих відхилень аудитор складає різні групувальні таблиці, на що витрачає багато часу. Все це потребує застосування комп'ютерної техніки та програмного забезпечення для полегшення роботи аудитора. У такому випадку аудитор проводить механізований аудит, в процесі якого обчислювальна техніка є допоміжним засобом для обробки інформації.

У зарубіжній літературі часто аудит в умовах автоматизованої обробки облікової інформації поділяють на 3 типи: аудит "навколо комп'ютера" (auditing around the computer), аудит "через комп'ютер" (auditing through the coputer) і аудит з використанням комп'ютера (auditing with the computer) (рис. 2.2.).

Рис. 2.2. Аудит "навколо" та "через" комп'ютер

Паперовий аудит, механізований аудит і аудит "навколо" комп'ютера певною мірою ігнорують факт використання комп'ютера для обробки облікової інформації. Проте, оскільки аудиторські методи передбачають простеження шляху формування підсумкової (звітної) облікової інформації від первинних документів до залишків на рахунках і звітів і навпаки, то таке "обминання" комп'ютера можливе без втрати ефективності перевірки тільки за таких умов:

  1.  наявність очевидних аудиторських слідів (audit trail), тобто якщо для кожної господарської операції наявні належним чином оформлені паперові первинні документи, а також є роздруковані детальні журнали операцій з чіткими посиланнями на первинні документи і на відповідні показники в звітах;
  2.  операції, які обробляються, достатньо зрозумілі, прості, і взагалі обсяг оброблюваних даних порівняно невеликий;
  3.  до комп'ютерних програм є детальна документація, в якій є чіткі схеми документообігу і формування підсумкової інформації.

       Звичайно ці умови можуть виконуватись, коли бухгалтерський облік ведеться за допомогою окремих автоматизованих робочих місць (АРМ) за ділянками обліку, не з'єднаними між собою (механізований облік). В умовах використання комплексних КІСП усі наведені вище моменти не є такими очевидними.

2.2. Мета і основні елементи методології комп’ютерного аудиту.

Як зазначалося раніше, в умовах комп'ютерної обробки даних зберігається мета та основні елементи методології аудиту. Проте середовище комп'ютерної обробки інформації суттєво впливає на процес вивчення аудитором системи обліку та засобів внутрішнього контролю суб'єкта господарювання. Тому аудитору слід визначити, як впливають на організацію та проведення аудиту використання системи комп'ютерної обробки даних у суб'єкта господарювання, в тому числі на вивчення системи бухгалтерського обліку та внутрішнього контролю.

Щоб скласти висновок щодо фінансової звітності або інших аспектів діяльності клієнта, аудитор повинен визначити конкретні цілі проведення аудиту, досягнення яких дасть йому можливість підтвердити або спростувати (виявити неузгодженість) в фінансових документах клієнта. Встановивши конкретні цілі аудиту, аудитор прагне одержати докази на користь кожної конкретної цілі перевірки або всупереч їй. Таким чином, аудитор визначає процедури, які дають йому можливість досягти конкретних цілей перевірки і підготувати позитивний висновок або виявити неузгодженість фінансових документів.

Основна мета аудиторських процедур — зібрати достатню кількість підтверджень (аудиторських доказів) на користь формування того чи іншого типу аудиторського висновку.

Термін "аудиторські докази" означає інформацію, одержану аудитором для вироблення і підтвердження думок, на яких ґрунтується підготовка аудиторського висновку та звіту. Аудиторські докази складаються з первинних документів та облікових записів, що кладуться в основу фінансової звітності, а також підтверджу вальної інформації з інших джерел. Поняття аудиторських доказів та основні шляхи їх отримання наводяться в Міжнародному стандарті № 500 "Аудиторські докази".

Цікаво, що проф. Ф.Ф. Бутинець зі співавторами вважають недоцільним використання терміна "докази" в аудиті, стверджуючи, що докази — це суто юридична категорія58. Можна з цим погодитися, оскільки аудитор справді не здійснює збору певної належним чином оформленої інформації, яка може бути використана в суді. Англійський термін "evidence" має декілька перекладів — може українською перекладатись не тільки як доказ, а й як свідчення. Втім, як перший, так і другий переклад мають як юридичне, так і загальне значення. Можливо, найкращим варіантом перекладу було б "підтвердження", проте термін "докази" в російській та українській науковій літературі з аудиту вже набув значного поширення і використаний в офіційному перекладі міжнародних стандартів аудиту. Ті самі автори зазначають: "Якщо аудитор сумнівається у достовірності даних, то замовник аудиту повинен надати аудитору докази того, що такі факти відображені у фінансовій звітності відповідно до вимог, а аудитор на підставі наданої інформації формулює власну думку про достовірність фінансової звітності". Знову йдеться про "докази", але які має надавати аудитору замовник. Тут вже, напевно, автори монографії не мали на увазі юридично значимих доказів для подання в суді.

Аудиторські докази одержуються в результаті належного поєднання тестів систем контролю та процедур перевірки по суті, які складаються з перевірок докладної інформації про операції і залишки та аналітичних процедур.

Тести систем контролю — це перевірки, що виконуються для одержання аудиторських доказів щодо відповідності структури та ефективності функціонування систем обліку та внутрішнього контролю. Проте за деяких обставин докази можуть бути одержані тільки в результаті процедур перевірки по суті.

При плануванні та проведенні аудиторських процедур аудитор використовує певні методи (рис. 2.3.).

Кажучи про методи в аудиті, необхідно розрізняти застосування методів в різних площинах та класифікувати їх відповідно до цього, оскільки кожен підручник з аудиту дає свою класифікацію методів аудиту, при цьому не завжди уточнюється, про які саме методи йдеться. Наприклад, Л.П. Кулаковська називає такі загальнонаукові методи, як індукція та дедукція. Вони використовуються як діалектичний підхід дослідження складних систем, до яких належить аудит.

Рис. 2.3. Класифікація методів аудиту

Саме тому можна розглядати застосування дедуктивних та індуктивних прийомів в аудиті. При першому — дослідження здійснюють від загального до конкретного, при другому — від конкретного до загального. В аудиті мають значення обидва прийоми. Дедуктивний використовують при вивченні фінансово-господарської діяльності підприємства, оцінці напрямку та ефективності системи управління, в межах якої діє об'єкт. Його також застосовують для характеристики системи внутрішнього контролю, яка включає систему внутрішнього обліку, процедури внутрішнього контролю, середовище контролю тощо. Індуктивний метод дає змогу зосередити всю увагу на окремих групах процесів, як правило, з найбільшим ступенем ризику. Вивчивши недоліки окремих процесів та проаналізувавши частоту їх виникнення, можна перенести результати цієї перевірки на загальну сукупність інформації, побачити цілісну проблему і сформулювати об'єктивні висновки щодо вибудованої інформації. Окрім цього, можна виділити методичні прийоми проведення збору аудиторських доказів. їх класифікацію можна знайти у роботах Бутинця Ф.Ф., Н.М. Малюги61, Б.Ф. Усача, Л.П. Кулаковської. Методичні прийоми збору аудиторських доказів в англомовних джерелах мають назву audit procedures, тобто аудиторських процедур.

Найбільш повний перелік методичних прийомів збору аудиторських доказів наводять Ф.Ф. Бутинець та Н.М. Малюга. До них належать фактична перевірка, підтвердження, документальна перевірка, спостереження, опитування, перевірка арифметичної точності, аналітичні процедури, сканування, обстеження, спеціальна перевірка, зустрічна перевірка тощо.

Під фактичною перевіркою розуміють огляд або підрахунок аудитором матеріальних активів (виробничих запасів, грошових коштів, цінних паперів, основних засобів тощо), тобто інвентаризацію.

Підтвердження — отримання письмової відповіді від клієнта або третіх осіб для підтвердження точності інформації (наприклад, за дебіторською заборгованістю).

Документальна перевірка — перевірка документів та записів. У практиці аудиторів використовуються такі методи документальної перевірки:

  1.  формальну перевірку документів (правильність заповнення всіх реквізитів, наявність необумовлених виправлень, підчищень, справжність підписів посадових та матеріально відповідальних осіб);
  2.  арифметичну перевірку (правильність підрахунків в документах, облікових регістрах та звітних формах);

• перевірку документів за змістом (законність та доцільність господарської операції, правильність зарахування операції на рахунки та включення до статей звітів).

Спостереження — отримання загального уявлення про можливості клієнта на основі візуального спостереження.

Опитування — отримання письмової або усної інформації від клієнта.

Аналітичні процедури — метод порівнянь, індексів, коефіцієнтів.

Сканування — безперервний перегляд інформації за елементами (наприклад, бухгалтерськими первинними документами) з метою знайти будь-що нетипове.

Обстеження — особисте ознайомлення з проблемою.

Спеціальна перевірка — залучення спеціалістів з вузької спеціалізації.

2.3.Послідовність проведення аудиту в комп’ютерному середовищі

З метою ідентифікації і відбору бухгалтерських проводок для тестування, а також для вибору належного методу перевірки документів-підстав для цих обраних елементів, аудитор розглядає процес складання фінансової звітності суб'єкта господарювання і тип доказів, які можуть бути одержані, для багатьох підприємств порядок обробки операцій включає комбінацію ручних і автоматизованих етапів та процедур. Так само, обробка бухгалтерських проводок може включати як ручні, так і автоматизовані процедури і засоби контролю. Як зазначається в Міжнародному стандарті № 240, "...коли інформаційна технологія використовується в процесі складання фінансової звітності, облікові записи можуть існувати тільки в електронній формі".

Детально послідовність проведення аудиту в комп'ютерному середовищі наведена на рис. 2.4.

При плануванні аудиторських процедур, на які може вплинути середовище КІСП суб'єкта, аудитор повинен отримати уявлення про значимість і складність процесів функціонування КІСП, а також про доступність даних для використання при аудиті. Таке уявлення охоплює такі аспекти: значимість, складність, організаційна структура, доступність даних.

Значимість стосується змісту тверджень,що містяться у фінансовій звітності і підлягають комп'ютерній обробці.

Складність комп'ютерної обробки — в кожній значній прикладній бухгалтерській програмі. Прикладна програма вважається складною, якщо, зокрема:

  1.  обсяг операцій такий, що користувачам важко ви
    явити і виправити помилки, допущені в процесі обробки;
  2.  комп'ютер автоматично генерує суттєві операції або проводки безпосередньо в іншій прикладній програмі;
  3.  комп'ютер виконує складні розрахунки за фінансовою інформацією і (або) автоматично генерує операції або проводки, що не можуть бути підтверджені або не підтверджуються окремо;
  4.  обмін операціями з іншими організаціями здійснюється електронним способом (як у системах електронного обміну інформацією), і при цьому не проводиться фізична
    перевірка на предмет правдивості або прийнятності.

Організаційна структура КІСП клієнта, а також ступінь концентрації або розподілу комп'ютерної обробки в рамках суб'єкта, зокрема, те, як вони можуть впливати на розподіл обов'язків.

Доступність даних. Первинні документи, деякі комп'ютерні файли й інший доказовий матеріал, що може знадобитися аудитору, можуть існувати тільки протягом короткого періоду або у форматі, доступному для перегляду тільки на комп'ютері.

Важливу роль при плануванні аудиторської перевірки відіграє рівень автоматизації облікових задач. При оцінці складності автоматизованої обробки бухгалтерських даних необхідно враховувати як ступінь інтеграції інформаційних систем, так і ступінь спільного використання різними системами однієї і тієї ж облікової бази даних.

При використанні методів аудиту потрібно враховувати технічну структуру програмного забезпечення КСБО (рис. 2.5.).

Рис. 2.5. Трирівнева архітектура програмного забезпечення КСБО

Є дві основних причини використання такої структури. По-перше, це спрощена розробка та налагодження прикладних програм. Концептуально розробник в одному рівні має спрощене завдання, оскільки він може не вивчати деталей роботи розташованого нижче шару. По-друге, це підвищена безпека і захист. Кожен рівень може створюватись і налагоджуватись різними фірмами та групами спеціалістів із застосуванням різних мов програмування, причому конкретний розробник одного рівня не може контролювати розташований нижче рівень.

Отже, така структура побудови програмного забезпечення в принципі може підвищити безпеку і секретність КСБО.

2.4.Оцінка аудиторського ризику при проведені комп’ютерного аудиту.

Важливим елементом при плануванні та проведенні аудиту є оцінка аудиторського ризику. Він залежить від особливостей господарської діяльності підприємства, якості функціонування системи внутрішнього контролю підприємства. Аудиторський ризик полягає в тому, що аудитор може висловити неадекватну думку в тих випадках, коли в документах бухгалтерської звітності є значні перекручення, іншими словами, за неправильно підготовленою звітністю буде представлено аудиторський висновок без зауважень.

Згідно з вимогами Міжнародного стандарту № 400 "Оцінка ризиків та внутрішній контроль", аудитор повинен оцінити властивий (притаманний) ризик і ризик невідповідності внутрішньої системи контролю і управління.

Найважливішим тут є оцінка аудитором ризику внутрішнього контролю — ефективності системи внутрішньогосподарського контролю підприємства, тобто її спроможності попереджати і виявляти помилки на підприємстві, оцінка розміру аудиторського ризику не виявлення суттєвих помилок у звітності підприємства, який існує під час проведення аудитором аудиторських процедур, і визначення на підставі цього найважливіших напрямків аудиту.

Аудиторський ризик визначається за формулою:

АР = ВР * РК * РН,

де АР — аудиторський ризик;

ВР — внутрішньогосподарський ризик (також притаманний або властивий);

РК — ризик контролю;

РН — ризик не виявлення.

Ризик контролю виражає міру очікування аудитором імовірності пропуску помилок, що перевищують припустиму величину, системою внутрішньогосподарського контролю, тобто ризик наявності помилок в обліку після перевірки системою внутрішнього контролю. Звичайно це значення лежить у межах від 0,3 до 0,5.

Ризик не виявлення виражає міру готовності аудитора визнати імовірність не виявлення в процесі проведення аудиту помилок, що перевищують припустиму величину. Відповідно до статистики, цей ризик становить близько 0,1 (близько 10 %).

Одержавши значення величини аудиторського ризику, необхідно врахувати, що він має бути прийнятним. Прийнятний аудиторський ризик виражає міру готовності аудитора визнати прийнятною імовірність наявності у фінансовій звітності суттєвих помилок після завершення аудиту і видачі клієнту аудиторського висновку. Більшість аудиторів вважають, що величина прийнятного аудиторського ризику не повинна перевищувати 5 %, хоча яких-небудь офіційних норм граничного значення аудиторського ризику не встановлено.

Оцінка ризику — складний ітераційний процес. Аудитор оцінює ризик перед проведенням аудиту. Однак якщо в процесі перевірки він виявив певні проблеми, пов'язані з функціонуванням системи контролю, то повинен скоригувати свою оцінку ризику і програму аудиту (рис. 2.6).

Комп'ютерна обробка економічних даних впливає, перш за все, на процес вивчення аудитором системи обліку і внутрішнього контролю підприємства, що перевіряється. Відповідно до вимог Міжнародного стандарту № 400 "Оцінка ризиків і внутрішній контроль", аудитор повинен оцінити властивий ризик (inherent risk) на підприємстві і ризик засобів контролю (control risk).

Відповідно до Положення про міжнародну аудиторську практику № 1008 "Оцінка ризику та внутрішній контроль: характеристики та особливості в КІС" аудитор повинен врахувати вплив ризиків використання КІС для того, щоб оптимально виконати процедури контролю і максимально понизити вірогідність надання неправильних висновків і рекомендацій. Особливості оцінки ризиків при застосуванні КІСП і КСБО також наведені в Міжнародному стандарті 401 "Аудит у середовищі комп'ютерних інформаційних систем".

Рис. 2.6. Циклічний алгоритм проведення аудиторської перевірки при переоцінці ризику системи контролю

Аудитор повинен зрозуміти, які заходи вживає суб'єкт господарювання щодо ризиків, які випливають із використання інформаційних технологій (IT). Використання IT впливає на спосіб здійснення контрольної діяльності. Аудитор розглядає, чи суб'єкт господарювання належним чином компенсував ризики, пов'язані з IT за допомогою створення ефективних загальних засобів контролю IT (general controls) і засобів контролю прикладних програм (application controls). З погляду аудитора, засоби контролю над ІТ-системами є ефективними, коли вони підтримують цілісність інформації і безпеку даних, які ця система обробляє.

Характер ризику і характеристики внутрішнього контролю в середовищі КІСП включають:

відсутність слідів операцій — незрозумілість шляху перетворення вхідної інформації з первинних облікових документів у підсумкові показники. Деякі КІСП спроектовані таким чином, що повний обсяг інформації про операцію, що використовується з метою аудиту, може існувати тільки протягом короткого періоду або тільки у форматі, що прочитується на комп'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто є можливість прочитання інформації тільки на електронних носіях, оскільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити наявності повного набору дій. Саме тому помилки, які існують у самому алгоритмі програми, дуже складно виявити без використання спеціальних програм;

  1.  єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються однакові інструкції.
    Таким чином, фактично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програмування (та інші помилки в технічних засобах або програмному забезпеченні) призводять до неправильної обробки всіх без винятку операцій. Зменшення участі людини в процесах обробки інформації приводить до того, що помилки і недоліки через зміни прикладних програм або системного програмного забезпечення можуть залишатися
    невиявленими ними тривалий час;
  2.  відсутність поділу функцій. Багато процедур контролю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІСП. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може виконувати несумісні функції. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського обліку вручну вони були б звичайно розподілені між декількома працівниками. Таким чином, цей бухгалтер, маючи
    вплив на всі розділи обліку, контролює сам себе;

можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслуговуванні й експлуатації КІС може бути більша, ніж у системах ручної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІСП, ніж у системах ручної обробки даних. Менший ступінь участі людей у процесі здійснення операцій може зменшити імовірність виявлення помилок і порушень. Помилки або порушення, що мають місце при розробці або модифікації прикладних програм або системного програмного забезпечення, можуть залишатися невиявленими протягом тривалого часу. Властивий (притаманний) ризик і ризик внутрішнього контролю в середовищі КІСП мають свої особливості: ризик може виникнути через неточності при розробці програми, супроводженні й підтримці програмного забезпечення системи, операцій, безпеки системи і контролю доступу до спеціальних програм управління. Розмір ризику може збільшуватися через помилки або шахрайство як у програмних модулях, так і в базах даних. Наприклад, слід вжити необхідних заходів, які попереджають виникнення помилок у системах, в яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко;

ініціювання або здійснення операцій. КІС можуть мати здатність автоматично ініціювати або здійснювати визначені види операцій. Дозвіл на виконання таких операцій або процедур не обов'язково документально оформляється таким самим чином, як і при ручній обробці;

можливості удосконалення у правлінського контролю. КІСП може надати керівництву багато аналітичних засобів, які можна застосовувати при аналізі операцій і контролю за діяльністю суб'єкта. Наявність таких додаткових засобів контролю, у випадку їх використання, допомагає покращати структуру внутрішнього контролю в цілому.

Часто масові господарські операції здійснюються в повністю автоматизованому режимі або з мінімальним втручанням людини. У таких умовах виконання тільки процедур по суті буде досить ризикованим. Наприклад, в умовах, коли суттєва кількість інформації суб'єкта господарювання ініційована, записана, оброблена або надана електронним способом, аудитор може з'ясувати, що розробка ефективних процедур по суті, які самі по собі могли б забезпечити достатні аудиторські докази щодо відсутності суттєвих відхилень в операціях або залишках на рахунках, не є можливою. У таких випадках аудиторські докази можуть бути доступними тільки в електронній формі, і їх достатність і відповідність звичайно залежать від ефективності вбудованих в програмне забезпечення засобів контролю, їх точності й повноти. До того ж, потенціальна можливість випадків некоректного ініціювання або зміни інформації, які відбулися і не були виявлені, може бути більшою, якщо інформація ініційована, записана, оброблена або надана тільки в електронній формі й відповідні засоби контролю не діють ефективно.

Наприклад, КІСП може використовуватися для ініціювання замовлень на придбання та постачання товарів, яке базується на заздалегідь заданих правилах щодо того, що саме замовляти і в якій кількості. Потім КІСП автоматично приймає рішення щодо сплати відповідних рахунків постачальників, на підставі підтвердженого факту отримання товарів. При цьому ніяке інше документування щодо розміщених замовлень або отриманих товарів не здійснюється, окрім як через КІСП.

Суб'єкт господарювання, який надає послуги замовникам через електронні засоби (наприклад, Інтернет - провайдер або телекомунікаційна компанія), також використовує КІСП для автоматичної реєстрації послуг, наданих замовникам.

Таким чином, використання КІСП на підприємстві створює специфічні аудиторські ризики, які тісно пов'язані з поняттям інформаційної безпеки КІСП. Інформаційна безпека досягається шляхом задоволення вимог до чотирьох груп специфічних ресурсів комп'ютерної інформаційної системи підприємства: апаратного забезпечення, програмного забезпечення, обчислювальних потужностей (наприклад, процесорного часу або місця на твердому диску) і даних.

2.5.Вимоги до безпеки  інформаційного забезпечення при проведені аудиторських перевірок.

До апаратного забезпечення у безпечній системі висувається вимога забезпечити безперервну і безпомилкову роботу програмного забезпечення (continuity of operations). Вимоги до програмного забезпечення аналогічні — забезпечити безперервне і безпомилкове виконання передбачених функцій (збір даних, обробка, автоматичне обчислення показників, надання даних користувачу тощо). Обчислювальні потужності мають використовуватися тільки правомірно — для вирішення поставлених завдань.

Найбільш цінним ресурсом інформаційної системи є, безумовно, інформація. Тому до інформації, що міститься в системі, висувають такі специфічні вимоги:

•  конфіденційність — забезпечення надання доступу до інформації тільки уповноваженим на це користувачам;

  1.  цілісність — гарантування точності та повноти інформації та методів обробки;
  2.  доступність — забезпечення того, що уповноважені
    користувачі на свою вимогу отримають доступ до інформації і пов'язаних з нею ресурсів.

іншого боку, інформаційну безпеку можна визначити як відсутність порушень в роботі інформаційної системи. Тому інколи вимоги до інформації визначаються як відсутність порушень в роботі системи:

  1.  конфіденційність — властивість інформації бути захищеною від несанкціонованого ознайомлення;
  2.  цілісність — властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;
  3.  доступність — властивість інформації бути захищеною від несанкціонованого блокування.

Згідно з Законом України "Про захист інформації в автоматизованих системах", порушення роботи автоматизованої [інформаційної] системи — дії або обставини, які призводять до спотворення процесу обробки інформації. Згідно з цим законом, до порушень роботи автоматизованої інформаційної системи зараховують такі загрози:

  1.  витік інформації — результат дій порушника, внаслідок яких інформація стає відомою суб'єктам, що не мають права доступу до неї;
  2.  втрату інформації — дії, внаслідок яких інформація
    перестає існувати для фізичних або юридичних осіб, які
    мають право власності на неї в повному чи обмеженому
    обсязі;
  3.  підробку інформації — навмисні дії, що призводять
    до перекручення інформації, яка повинна оброблятися або
    зберігатися в автоматизованій системі;
  4.  блокування інформації — дії, наслідком яких є припинення доступу до інформації;
  5.  порушення роботи автоматизованої системи — дії або обставини, які призводять до спотворення процесу обробки інформації.

Як бачимо, перша загроза порушує конфіденційність інформації, друга і третя — її цілісність, четверта — доступність. Натомість п'ятий клас загроз стосується не тільки інформації, а й апаратної і програмної частин системи, її інфраструктури.

В англомовній літературі, замість безпосередніх порушень роботи КІСП найчастіше розглядають можливі загрози її роботі, намагаються протидіяти саме загрозам (а не порушенням, які вже відбулись і оцінюють ризики того, що загроза матиме місце в реальності.

Під загрозою (threat) розуміють певний вчинок або подію, що може призвести до збитків. Загрози прийнято поділяти на випадкові, або ненавмисні, і навмисні (табл. 2.1.).

Таблиця 2.1. Класи загроз безпеці інформації

Ненавмисні

Навмисні (deliberate)

(Accidental)

Пасивні

Активні

Помилки у вхі-

дній інформації

Порушення ін-

фраструктури

(коротке зами-

кання, стихійні

лиха, перепади

струму)

Використання ресур-

сів не за призначенням

Несанкціонований

перегляд інформації

(підслуховування,

шпигунство)

Крадіжка обладнання.

Саботаж.

Порушення апарат-

ної або програмної

інфраструктури

(диверсія).

Навмисний злом

системи безпеки

(підбір паролю).

Порушення роботи

веб-сайту (Denial of

ServiceDoS).

Шкідливі програми

(віруси, трояни,

черв'яки)

Джерелом ненавмисних загроз (accidental threats) можуть бути некваліфіковані дії або неуважність користувачів або адміністрації, вихід з ладу апаратних засобів, помилки в програмному забезпеченні, стихійні катакліз-ми, бруд, пил тощо. Навмисні загрози (deliberate threats), на відміну від випадкових, мають на меті завдання збитку користувачам інформаційної системи і, в свою чергу, поділяються на активні й пасивні.

Пасивні загрози, як правило, спрямовані на несанкціоноване використання інформаційних ресурсів системи, не порушуючи при цьому її функціонування. Пасивною загрозою є, наприклад, спроба одержання інформації, що циркулює в каналах, за допомогою їх прослуховування. Джерелом пасивних загроз можуть бути як внутрішні користувачі системи, що можуть і не мати злого умислу, так і зловмисники ззовні, мета яких — не бути поміченими.

Активні загрози мають на меті порушення нормального процесу функціонування шляхом цілеспрямованого впливу на апаратні, програмні та інформаційні ресурси. До активних загроз належать, наприклад, руйнація або радіоелектронне придушення ліній зв'язку, виведення із ладу апаратних або програмних засобів системи, блокування обчислювальних потужностей (наприклад, мільйонами фальшивих запитів на надання інформації), внесення несанкціонованих змін до процедур обробки інформації, спотворення інформації тощо. Джерелами активних загроз можуть бути або безпосередньо зловмисники, або несумлінні чи ображені працівники, або комп'ютерні віруси та інші шкідливі програми (трояни, Інтернет - черв'яки тощо).

Для зменшення рівня загроз в комп'ютерній інформаційній системі підприємства впроваджують засоби забезпечення безпеки інформаційної системи. Всі засоби безпеки можна розділити на три групи: засоби попередження порушень безпеки, засоби виявлення порушень безпеки і засоби зменшення збитків і відновлення системи після інциденту (табл. 2.2).

Таблиця 2.2. Класифікація засобів інформаційної безпеки

Тип засобів захисту

Приклади

1

2

Профілактичні

• регулярні технічні огляди і профілактика апаратного забезпечення;

• регулярне оновлення парку апаратних

засобів;

• придбання апаратних засобів у постачальника, що гарантує їх якість і технічне обслуговування;

• фізичний захист від крадіжки — замок

на дверях, сигналізація, прикріплення

комп'ютера до столу тощо;

• засоби протидії стихії або перепадам

напруги: засоби пожежегасіння, гермети-

чний, тугоплавкий або ударостійкий корпус, блок безперебійного живлення тощо.

Програмне забезпечення:

• встановлення останніх оновлень до

операційних систем (servicepacks and

hotfixes);

• встановлення і підтримання в належному стані антивірусних програм;

• підтримка ліцензійної чистоти програмного забезпечення.

Обчислювальні потужності:

• визначення відповідальності за використання обчислювальних потужностей

не за призначенням.

Інформація:

• система розподілення доступу;

• шифрування даних, особливо при переданні інформації;

• програмний контроль інформації "на вході", відстеження помилок одразу при

введенні;

• "дружній" інтерфейс програмного за-

безпечення, який підказує, як без поми-

лок ввести дані;

1

2

• призначення відповідальності за помилки у введених даних та за помилкове знищення даних.

Моніторингові

Апаратне забезпечення:

• ведення журналів роботи обладнання;

• ведення журналів технічних оглядів;

• сигналізація;

• автоматизація обробки надзвичайних ситуацій (виклик системного адміністратора, поліції).

 Програмне забезпечення:

• ведення журналів операційних систем і прикладних програм;

• регулярна перевірка цілісності програмного забезпечення за допомогою спеціалізованого програмного забезпечення.

 Обчислювальні потужності:

 • ведення журналів обліку використання обчислювальних потужностей.

Інформація: • регулярна перевірка цілісності інформації за допомогою спеціалізованого програмного забезпечення.

Коригувальні

Апаратне забезпечення:

• страхування апаратного забезпечення; • передбачення додаткових потужностей на випадок виходу з ладу основних.

Програмне забезпечення: • регулярне резервне копіювання системи; • детальне документування всіх змін алгоритмів обробки даних. Обчислювальні потужності: • передбачення в інфраструктурі запасних вузлів на випадок виходу з ладу основних.

 Інформація: • регулярна архівація

Профілактичні засоби забезпечення безпеки призначені для зменшення ризику настання порушення безпеки інформаційної системи.

Моніторингові засоби призначені для виявлення фактів порушення системи безпеки. Сьогодні це є однією з найбільших проблем у забезпеченні інформаційної безпеки підприємства. Особливо складно відстежувати реалізацію пасивних загроз, які не порушують функціонування системи. Зокрема, Міністерством оборони США було проведене дослідження, в якому намагалися "зламати" 38 000 власних комп'ютерів. У 65 відсотках спроб "зламу" до комп'ютерів вдалось проникнути. При цьому було викрито лише 4 відсотки проникнень, а зафіксовано лише 1 відсоток75. Гірше того, більшість порушень виявляють через тривалий час після самого факту порушення. А оскільки даними в інформаційних системах легко маніпулювати як до, так і після вчинення порушення, виникають складнощі з отриманням доказів того, що порушення справді відбулось.

Впорядкувати засоби захисту і полегшити управління системою інформаційної безпеки підприємства покликані аудит інформаційних систем та політика інформаційної безпеки підприємства. Зупинимось більш детально на політиці безпеки.

Політика безпеки є підґрунтям програми інформаційної безпеки і засобом документування та розповсюдження важливих рішень, які стосуються безпеки. У Міжнародних стандартах аудиту79 наводиться багато в чому аналогічне поняття "середовище контролю" (control environment). Поняття політики безпеки є неоднозначним, і дуже часто під цим розуміють тільки документацію, яка містить положення щодо безпеки певної організації. На нашу думку, політика безпеки — це набір правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила встановлюють, в яких випадках користувач має право працювати з визначеними наборами даних. Чим надійніша система, тим більш суворою, детальною та всеохоплюючою має бути політика безпеки. Залежно від сформульованої політики можна обирати конкретні механізми, що забезпечують безпеку системи. Політика безпеки — це активний компонент захисту, що включає в себе аналіз можливих погроз і вибір заходів протидії.

До політики безпеки входять:

  1.  планування непередбачуваних ситуацій та стихійних лих — ненавмисних порушень безпеки (contingency planning);
  2.  опрацювання інцидентів — навмисних порушень безпеки (incident handling);
  3.  встановлення відповідальності за безпеку інформаційної системи.

Планування непередбачуваних ситуацій призначене для ліквідації наслідків стихійних лих; підтримання функціонування критичних процесів організації у випадку краху. Планування непередбачуваних ситуацій виконується поетапно (рис. 2.7.).

    Основні етапи планування непередбачуваних ситуацій

 Допоміжні цілі планування непередбачуваних ситуацій

     Ресурси, критичні для безпеки системи

Рис. 2.7. Планування непередбачуваних ситуацій

Як бачимо, при плануванні непередбачуваних ситуацій досягається низка побічних цілей. При передбаченні випадковостей і стихійних лих збирають і обробляють інформацію, яка стосується безпеки інформаційної системи.

Опрацювання інцидентів має за мету ліквідувати та проаналізувати наслідки інциденту, а також попередження майбутніх інцидентів. Згідно з довідником Національного інституту стандартів і технологій США (National Institute of Standards and Technology NIST), успішна система опрацювання інцидентів має задовольняти такі вимоги: чітко визначені групи людей, які вживають заходів з опрацювання інцидентів; всі члени груп обізнані з порядком дій при виникненні інциденту; наявні засоби централізованого повідомлення про інцидент; організовані експертиза та відповідні служби з опрацювання інциденту; налагоджений зв'язок з іншими групами, які можуть допомогти у випадку виникнення інциденту.

Важливим кроком у формуванні політики безпеки є визначення відповідальності за безпеку системи. Розрізняють чотири рівні відповідальності. Найвищий рівень відповідальності у керівника підприємства. Він визначає загальні положення безпеки інформаційної системи, а також розробляє нормативні документи з політики безпеки на підприємстві.

Менеджер з безпеки та функціональні менеджери перебувають на другому рівні відповідальності. Перший відповідає за щоденне безпечне функціонування інформаційної системи, за впровадження на підприємстві політики безпеки; другі відповідають за безпеку системи під час виконання поточних проектів. Постачальники технологій та супровідні організації відповідають за забезпечення технологічної, інформаційної або іншої підтримки інформаційної системи. І нарешті, користувачі системи і користувачі інформації системи мають найнижчий рівень відповідальності і відповідають тільки за наслідки своїх дій при роботі з інформаційною системою.

2.6.Фактори впливу на рівень аудиторського висновку при застосуванні комп’ютерних технологій.

Кожній КІСП в тому або іншому ступені притаманний ризик виникнення помилок в роботі, зокрема і у бухгалтерському обліку, через порушення їх безпеки. Для кожної системи, залежно від її масштабів, структури і управління, цей ризик різний. Однак зважаючи на сказане вище, можна вести мову про додаткові аудиторські ризики, пов'язані з КІСП.

При загальному розгляді аудиторських ризиків, пов'язаних із використаннях підприємством-клієнтом КІСП, треба мати на увазі таке. По-перше, такі додаткові ризики можуть входити як складова до ризику контролю, якщо ми маємо на увазі КСБО. Якщо ж суттєва частина безпосередньо господарської діяльності підприємства базується на використанні модулів КІСП з оперативного обліку, тоді такі ризики є складовою і властивого ризику. По-друге, аудиторський ризик в умовах КІСП може бути як нижчий, так і вищий порівняно з паперовою бухгалтерією (залежно від дотримання або недотримання певних умов, рис. 2.8.).

Всі ризики, пов'язані з використанням комп'ютерної інформаційної системи, можна було б звести до ризиків неналежного аудиту інформаційної системи та ризиків неефективної політики інформаційної безпеки підприємства. Проте оскільки ці поняття є досить абстрактними і широкими, а отже, передбачають, з одного боку, дуже багато конкретних втілень і найрізноманітніших рекомендацій, а з другого боку, незрозуміло, як оцінювати ризики на підприємстві, де немає першого, або другого, ми пропонуємо ризики, пов'язані з браком або неналежним функціонуванням засобів безпеки КІСП, розглядати в таких аспектах: технічному, програмному, інформаційному та організаційному.

Підвищення аудиторського ризику спричиняють порушення безпеки в кожному з цих аспектів. У таких порушень, в свою чергу, є певні передумови.

Рис. 2.8. Фактори впливу на рівень аудиторського ризику

Технічні аспекти стосуються ризиків, викликаних поганою роботою апаратних засобів, браком належного технічного обслуговування і контролю. Ризик збільшується за відсутності засобів фізичної безпеки (сигналізація, замок на комп'ютері) та засобів протидії стихії (пожежна сигналізація, система пожежогасіння). Якщо комп'ютерна система децентралізована, є географічне рознесення комп'ютерних пристрої в ризик аудиту підвищується за рахунок введення в систему додаткової ланки — ліній зв'язку, а також за рахунок ускладнення технічного обслуговування. Ризик виникнення помилок, в свою чергу, зменшується за наявності ведення автоматичних журналів роботи системи, регулярних технічних оглядів та передбачення додаткових апаратних вузлів, які б взяли на себе функції замість пошкодженого вузла.

Програмні аспекти аудиторських ризиків можуть стосуватися двох типів. Ризики першого типу пов'язані з використанням нелегального програмного забезпечення. Відомо, що законний власник ліцензії на використання програмного забезпечення бухгалтерського обліку має право одержувати допомогу і підтримку в розробника програмного продукту. Оскільки фірми-розробники ретельно відстежують всі зміни в законодавстві й нормативних актах, то вони вчасно вносять виправлення в свої програми, і часто безкоштовно або за незначну доплату надають їх своїм користувачам. Крім того, розробники операційних систем безкоштовно надають ліцензованим користувачам останні оновлення та виправлення, що часто стосуються безпеки і стійкої роботи операційних систем. Ця допомога і підтримка сприяють підвищенню надійності роботи з такою програмою, знижують аудиторський ризик. Використання ж незаконно придбаної програми підвищує аудиторський ризик, оскільки такі програми часто є застарілими версіями; у них своєчасно не коригуються алгоритми розрахунків, форми звітності й документів, користувач не має супровідної документації і не може цілком правильно використовувати можливості програми.

Ризики другого типу можуть бути викликані помилками в алгоритмі програми, її малим тиражем, використанням не за призначенням, поганою технічною підтримкою.

Поширені програми, застосовані на сотнях підприємств і в різних умовах, як правило, не мають помилок, оскільки вони були виявлені в процесі впровадження на багатьох об'єктах і виправлені. Аудиторський ризик в цьому випадку знижується. І навпаки, в системі, створеній в одиничному екземплярі програмістом, який не має економічної підготовки, швидше за все, є багато помилок. Природно, у такому разі підвищується ризик при аудиторській перевірці.

Аудиторський ризик збільшується, коли не наявні або погано налагоджені організаційна політика і програмна система розподілення доступу, зокрема, у випадку коли доступ до алгоритмів може отримати людина, що не має на це повноважень (наприклад, програміст фірми-розробника після закінчення впровадження КІСП на підприємстві). З іншого боку, аудиторський ризик зменшується за наявності спеціальних програмних засобів (найпростіший приклад — архіватор WinRar або антивірус Doctor Web), які можуть перевіряти цілісність і незмінність програмного забезпечення (наприклад, за контрольною сумою).

Інформаційні аспекти аудиторських ризиків полягають у можливих помилках в інформації, тобто порушенні її цілісності. Таке порушення може бути результатом випадкових помилок у вихідних даних або навмисного їх викривлення. Цілісність може бути порушена в результаті ненавмисної зміни даних уповноваженим користувачем або як результат навмисної їх підробки зловмисником - хакером. Крім того, джерелом можливих помилок може бути просто вчасно не помічене зникнення даних, які немає звідки відновити. Отже, аудиторський ризик підвищують брак контролю вхідних даних, регулярних перевірок інформації на цілісність, наявність або погана робота організаційної політики і систем розподілу доступу і нарешті, нерегулярна архівація інформації або її відсутність.

Крім аудиторських ризиків, які прямо випливають з використання КІСП на підприємстві, є ризики, пов'язані з персоналом, що працюють з комп'ютерною інформаційною системою.

Організаційні аспекти аудиторських ризиків пов'язані з організацією обліку і контролю при використанні КІСП, викликані недостатньою підготовкою персоналу клієнта до роботи з системою обробки даних обліку, браком чіткого розмежування обов'язків і відповідальності персоналу клієнта, незадовільною організацією системи внутрішнього контролю, слабкою системою захисту від несанкціонованого доступу до бази даних або її відсутністю, утратою даних.

Оцінюючи ризики, пов'язані з використанням КІСП, слід пам'ятати, що в сучасних умовах погано навчений персонал є однією з найуразливіших ланок системи обробки даних. Аудитор повинен оцінити кваліфікацію облікового персоналу у сфері комп'ютерної підготовки, інформаційних технологій і конкретної облікової системи. Йому необхідно звернути увагу і на відношення персоналу до системи, ступінь довіри до неї. Бухгалтер, який вважає, що він швидше виконає роботу без використання програми, очевидно погано знайомий з її можливостями і, можливо, робить багато помилок при обробці даних на комп'ютері.

Ризики, пов'язані з кваліфікацією аудитора, можливі в зв'язку з неправильною оцінкою системи обробки облікових даних, некоректністю побудови тестів, помилковим тлумаченням результатів власне аудитором.

Застосування різноманітних комп'ютерних систем на підприємствах призводить до необхідності для аудитора одержання спеціальних знань та досвіду одночасно зі знанням методики та практики, притаманних власне аудиту фінансової Звітності (рис. 2.9.).

Аудитор повинен добре орієнтуватися в сучасних автоматизованих програмних системах обліку, контролю і аналізу, знати принципи розподілу функцій і взаємного контролю серед працівників, що беруть участь у процесі обробки облікової інформації.

Рис. 2.9. Складові вимог до освіти та досвіду аудитора в середовищі IT

Для проведення аудиту в комп'ютерному середовищі аудитор повинен:

  1.  володіти додатковими знаннями в сфері систем обробки економічної інформації;
  2.  мати уявлення про технічне, програмне, математичне та інші види забезпечення КІСП;
  3.  володіти термінологією в галузі комп'ютеризації;
    чітко знати особливості технології і послідовність процедур комп'ютерної обробки облікової інформації;
  4.  знати організацію роботи бухгалтерії в умовах КІСП;
  5.  мати практичний досвід роботи з різними системами
    бухгалтерського обліку, аналізу, з правовими і довідковими системами, зі спеціальними інформаційними система
    ми аудиту.

Враховуючи різноманітність і складність комп'ютерних технологій, аудитору бажано бути першокласним фахівцем з комп'ютерного бухгалтерського обліку. Проте якщо в аудитора немає достатніх знань, Міжнародний стандарт № 401 зобов'язав його запрошувати експерта в галузі інформаційних технологій (використання послуг сторонніх експертів регламентується Міжнародним стандартом аудиту № 620 "Використання роботи експерта").

Основні напрями взаємодії аудитора з експертом щодо систем комп'ютерної обробки даних такі:

  1.  оцінка законності придбання і ліцензійної чистоти
    бухгалтерського програмного забезпечення, яке функціонує в системі комп'ютерної обробки даних;
  2.  оцінка надійності системи комп'ютерної обробки інформації в цілому;
  3.  перевірка правильності й надійності алгоритмів розрахунків;
  4.  формування на комп'ютері необхідних аудитору
    регістрів аналітичного обліку і звітності.

Проте і в цьому випадку аудитор зобов'язаний мати достатнє уявлення про комп'ютерну систему клієнта в цілому, щоб правильно планувати, направляти і контролювати роботу експерта. Слід розуміти, що експерт оцінює комп'ютерну систему обробки даних, а аудитор — достовірність інформації, яка міститься в звітності, сформованій за допомогою цієї системи.

Таким чином, використання клієнтом КІСП вносить додатковий аудиторський ризик, який розраховується за формулою

Rдод =R1 * R2 *R3 *R4* R5

де R1 — ризики, пов'язані з технічними аспектами;

R2 — ризики, пов'язані з програмними аспектами;

Rз — ризики, пов'язані з інформаційними аспектами;

R4 — ризики, пов'язані з організацією обліку і контролю при використанні КІСП;

R5 — ризики, пов'язані з кваліфікацією аудитора.

Ризики, пов'язані з технічними аспектами, можуть бути виражені у вигляді формули

R1= R11 * R12 * R13 *R14 *R15 * R16

де R11 — ризики, пов'язані із придбанням дешевого обладнання або у ненадійних постачальників;

R12 — ризики, викликані браком технічного обслуговування і контролю;

R13 — ризики, викликані браком оновлення апаратних засобів;

      R14 — ризики, викликані браком фізичного захисту від

крадіжок;

R15 — ризики, викликані браком системи протидії стихійним лихам і перепадам живлення;

R16 — ризики, викликані браком реєстрації роботи апаратного забезпечення.

Ризики, пов'язані з програмними аспектами, розраховуються за формулою

R2 = R21 * R22 *R23 *R24 * R25 * R26 *R27

де R21 — ризики, викликані браком або застарілістю антивірусних програм;

R22 — ризики, пов'язані з невиконанням перевірки цілісності програм і даних;

R23 — ризики, викликані браком останніх оновлень в операційних системах;

R24 — ризики, викликані браком ведення журналів операційних систем і прикладних програм;

R25 — ризики, викликані використанням неліцензійного програмного забезпечення;

R26 — ризики, викликані використанням малотиражного програмного забезпечення або придбання його в сумнівного постачальника;

R27 — ризики, викликані помилками в алгоритмі програми.

Ризики, пов'язані з інформаційними аспектами:

               R3 = R31*R32*R 33*R34 *R35*R36*R37

де R31 — ризики, викликані ненаявністю або неефективністю організаційної політики розподілу або системи контролю доступу до інформації;

R32 — ризики, викликані відсутністю або неефективністю шифрування інформації при зберіганні та передачі;

R33 — ризики, викликані відсутністю або неефективністю призначення паролів;

R34 — ризики, викликані браком контролю вхідної інформації;

R35 — ризики, викликані браком перевірки цілісності інформації;

R36 — ризики, викликані браком контролю правильності вхідної інформації;

R37 — ризики, викликані відсутністю архівації інформації.

Ризики, пов'язані з організацією обліку і контролю при використанні КІСП:

         R4 = R41 * R42* R43* R44

де R41 — ризики, викликані слабкою підготовкою персоналу клієнта до роботи з КІСП;

R42 — ризики, викликані браком чіткого поділу обов'язків і відповідальності клієнта;

R43 — ризики, викликані ненаявністю або неефективністю політики використання КІСП;

R44 — ризики, викликані слабкою організацією системи внутрішнього контролю.

Ризики, пов'язані з досвідченістю аудитора, який працює з комп'ютерними інформаційними системами:

              R5 = R51 *R52*R53

де R51 — ризик неправильної оцінки КІСП;

R52 — ризик некоректної побудови тестів КІСП;

R53 — ризик помилкового тлумачення результатів тестів.

 

                 Питання для контролю

  1.  Особливості зміни методології аудиту при застосуванні комп’ютерної техніки.
  2.  Види аудиту, які використовуються за різних способів обробки облікової інформації.
  3.  Мета і основні елементи методології комп’ютерного аудиту.
  4.  Класифікація методів аудиту.
  5.  Послідовність проведення аудиту в комп’ютерному середовищі
  6.  Оцінка аудиторського ризику при проведені комп’ютерного аудиту.
  7.  Вимоги до безпеки  інформаційного забезпечення при проведені аудиторських перевірок.
  8.  Класифікація засобів інформаційної безпеки
  9.  Особливості планування непедбачуваних  ситуацій
  10.  Фактори впливу на рівень аудиторського висновку при застосуванні комп’ютерних технологій.
  11.  Складові вимог до досвіду аудитора в середовищі ІТ
  12.  Напрямки взаємодії аудитора та експерта щодо комп’ютерної обробки даних

Тема 3.Методи аудиту із застосуванням комп'ютерів.

3.1.Типи комп’ютеризованих методів аудиту.

3.2.Модель аудиторської програмної системи.

3.3. Роль вибірки при проведені комп’ютерного аудиту.

     3.4.Методи дослідження файлів баз даних за допомогою спеціальних програмних продуктів.

3.5. Класифікація програмного забезпечення для проведення аудиту

3.6.Програми аудиту внутрішньо фірмових стандартів.

3.1.Типи комп’ютеризованих методів аудиту.

Комп'ютеризація обліку суттєво впливає на проведення аудиту. Однак і сам комп'ютер може стати інструментом аудитора, що дає змогу не тільки скоротити час та заощадити кошти при проведенні аудиту, а й провести більш детальну перевірку і скласти якісний аудиторський висновок.

Обробка економічної інформації клієнта за допомогою комп'ютера має такі переваги перед традиційними методами обробки інформації:

  1.  надає можливість збільшити ефективність аудиторської роботи, зменшивши при цьому витрати;
  2.  зменшує кількість даних, що обробляються вручну,
    внаслідок чого в аудитора з'являється час для детальнішої
    перевірки документів;
  3.  надає можливість розширити сферу аудиторської перевірки, збільшити кількість проведених тестів;
  4.  зниження ризику аудитора, пов'язаного з тестами,
    вибірковою перевіркою;
  5.  зручність користування: можливість одночасно працювати з багатьма документами та спостерігати, як зміна показників одного документа відображається на інформації інших, пов'язаних з ним.

Автоматизація аудиторської діяльності можлива, тому що бухгалтерський облік пов'язаний із застосуванням різних математичних прийомів, регламентованих правил перетворення інформації (математичних формул, відображень одних множин в інші, дій з таблицями). Математичні формули використовують при розрахунках сальдо, оборотів за рахунками, платежів до бюджету і до позабюджетних фондів, показників фінансово-господарської діяльності економічного суб'єкта. Прикладом відображення множини господарських операцій в множину бухгалтерських записів може слугувати будь-який довідник бухгалтерських записів (проводок). Такі довідники орієнтовані звичайно на зміст господарських операцій, що враховуються. Застосування і використання робочих таблиць, класифікаторів і роботу з ними можна проілюструвати описом взаємної відповідності показників різних форм звітності, а також довідником-класифікатором допустимих бухгалтерських проводок.

А. Тіттанен зазначає, що аудит з використанням комп'ютерів (computer-assisted auditing) — це єдиний шлях проведення аудиту в безпаперових бухгалтерських інформаційних системах (paperless accounting information systems). Досліджуючи роль комп'ютерів у аудиті, вона звертає увагу на використання обчислювальної техніки кінцевим користувачем (end-user computing — EUC) у сфері аудиту. Загальним визначенням цього поняття (EUC) є використання комп'ютера і його програмного забезпечення для того, щоб об'єднувати й аналізувати дані з різних джерел. Методику EUC обирають на основі:

  1.  елементів інформаційної системи — загальне та спеціальне тренування користувачів з метою отримання ними відповідних знань (user training);
  2.  елементів бухгалтерської системи — загальне знання
    бухгалтерських    інформаційних    систем    
    (accounting
    information systems AIS), аудиторського процесу (audit
    process), наявність аудиторського досвіду (audit experience and
    expertise), аудиторських технологій (audit firm technologies),
    систем підтримки прийняття рішень та експертних систем
    (Decision Support Systems and Expert Systems);
  3.  елементів біхевіористської системи — суб'єктивна
    думка аудитора
    (judgement in auditing) і ставлення до комп'ютерних програм (attitudes).

Комп'ютеризовані методи аудиту можуть дозволити провести більший обсяг перевірки електронних операцій та файлів з обліковою інформацією. Такі методики можуть використовуватися, щоб здійснити вибірку операцій з ключових електронних файлів, відсортувати операції за окремими параметрами або перевірити всю генеральну сукупність замість вибірки.

Варто зазначити, що в деяких системах обліку, де використовують комп'ютерну обробку значної частини операцій, можуть виникати складнощі в отриманні чітких результатів без допомоги спеціальних комп'ютерних програм. Хоча, з іншого боку, при невеликих обсягах даних ефективнішими можуть бути методи обробки даних без використання комп'ютера. До того ж, можна не отримати адекватної технічної допомоги від клієнта, що зробить використання спеціалізованих методів аудиту неефективним. Але в цілому КІСП спонукає аудиторів здійснювати аудиторські перевірки з використанням комп'ютеризованих методів аудиту (Computer-Assisted Audit Techniques — CAATs). Дж. Чемплейн дав найбільш загальне визначення комп'ютерним технологіям в аудиті — це будь-які комп'ютерні програми, що їх використовують для підвищення ефективності аудиту через автоматизацію процесів, збільшення розміру аудиторської вибірки та створення нових аудиторських процедур22. Є два основні типи CAATs, що їх використовує аудитор (рис 3.1.):

  1.  програмне забезпечення аудиту: комп'ютерні програми, що їх використовують для перевірки змісту файлів
    клієнта;
  2.  контрольні дані: дані, що їх використовують для
    комп'ютерної обробки з метою перевірки функціонування
    комп'ютерних програм клієнта.

Спеціальні програмні засоби комп'ютерного аудиту призначені для проведення аудиту безпосередньо комп'ютерної системи клієнта шляхом її тестування з використанням різних методів. Результатом є висновок про ефективну роботу процедур контролю і захист даних у системі. Це дає змогу оцінити ризик неефективності контролю і визначити можливість використання бази даних клієнта при проведенні аудиторської перевірки.

Програмні засоби забезпечують роботу з великими масивами даних, які перевіряються при виконанні аудиторських процедур (наприклад, перевірка і аналіз записів, зіставлення даних різних файлів, розмітка і роз-друковування вибірок, генерація звітів тощо). 

Рис. 3.1. Два основні типи комп'ютеризованих методів аудиту

Такі програмні засоби підтримки аудиторських процедур припускають виконання певних тестів на фактичних даних. За допомогою таких програмних засобів здійснюють перевірку й аналіз записів на основі визначених критеріїв з метою визначення їх якості, повноти і правильності. Для цього також використовують різноманітні бази знань, що допомагає визначити невідповідності й прийняти необхідні рішення. Подібне програмне забезпечення дає змогу робити тестування розрахунків, виконувати необхідні перерахунки і зіставляти отримані результати з нормативними, кошторисними, попередніми даними.

3.2.Модель аудиторської програмної системи.

У літературі з питань комп'ютеризації аудиту23 модель такої реалізації аудиторської програмної системи має таку структуру (рис. 3.2).

Рис. 3.2. Структура аудиторської системи

Модуль набуття знань призначений для формування бази знань. База знань складається з двох частин: бази правил і бази фактів. База правил містить процедурні знання в стандартній формі:

ЯКЩО <умова>, ТО <реакція>.

Припустимо, що аудитору необхідно впевнитися в правильності застосування облікової ціни готової продукції. Для цього створюють правило, що може мати вигляд:

ЯКЩО облікова ціна дорівнює сумі, поділеній на одиницю з планів калькуляції собівартості, ТО помилки немає. Наприклад, якщо показник "Обсяг робіт" у "Договорі підряду" збігається з показником "Обсяг виконаних робіт" у "Акті приймання", то можна перейти до наступного правила. Інакше — сформулювати повне повідомлення.

База фактів відображає типові описи змісту бухгалтерської документації і її взаємозв'язків.

Модуль виконання аудиту призначений для ініціалізації роботи системи, формування аудиторських повідомлень. Цікаво, що й інші російські автори (за винятком проф. B.I. Подільського) здебільшого розглядають процес автоматизації аудиту насамперед як формування за допомогою спеціалізованих програм думки аудитора щодо вірогідності змісту інформації, що міститься у фінансовій звітності клієнта. Фактично, в цьому випадку можна говорити про застосування в аудиті експертних систем та систем штучного інтелекту. Ван Дійк поділяє аудиторські комп'ютерні системи на знаннєві та експертні й зазначає, що саме експертні системи відіграють визначальну роль при проведенні аудиту. Різниця між цими системами полягає в тому, що знаннєва система складається з теоретичних і практичних знань, тоді як експертна система потребує ще й евристичних знань (інтуїтивних), які базуються на досвіді, глибоких теоретичних знаннях та великій кількості інформації, що закладається в комп'ютерну систему. Ван Дійк визначає експертну систему, як комп'ютерну програму, що збирає та зберігає інформацію та дані, визначає взаємозв'язки між певними елементами і робить висновки, виходячи з цих зв'язків, ніби імітуючи при цьому людський розум та здатність мислити. Експертні системи забезпечують можливість додавати функціональності в програмні засоби підготовки робочих документів. Наприклад, експертна система може оцінювати відповіді в анкетах для обстеження й автоматично генерувати посилання на додаткові пов'язані питання.

3.3.Роль вибірки при проведені комп’ютерного аудиту.

Вибірка (selection) певних операцій для подальшого їх підтвердження є іншим прикладом використання програмного забезпечення аудиту. Залежно від функцій програми сьогодні можна отримати статистичну, систематичну або випадкову вибірку. Проте тут необхідно зазначити, що хоча відбір операцій відбувається автоматично, подальше їх підтвердження звичайно відбувається вручну, оскільки включає процедури, які неможливо автоматизувати: звірку з первинними документами, отримання підтверджень за проведеними операціями від третіх сторін тощо.

Розмір вибірки суттєво залежить від оцінки ризику, яку було дано на етапі тестування засобів внутрішнього контролю підприємства. Це видно із формули розрахунку обсягу вибірки:

(RA*RF)

п = ,

              ТМ

де п — обсяг вибірки, шт.;

RA — загальна бухгалтерська вартість всієї генеральної сукупності, грн;

RF фактор ризику;

ТМ — припустимий рівень помилок (відхилень) у фінансовій звітності, грн.

Результатом проведеного на попередньому етапі тестування засобів контролю є оцінений фактор ризику. Якщо ризик помилки у фінансовій звітності клієнта був оцінений як низький, то фактор дорівнює 1. Якщо ж при тестуванні внутрішніх засобів контролю клієнта аудитором було виявлено певні відхилення, ризик помилки може бути оцінено як помірний. При цьому фактор ризику подвоюється і дорівнюватиме 2. У разі ненаявності засобів внутрішнього контролю на підприємстві або їх невикористання ризик, звичайно, буде оцінений як високий. При цьому фактор ризику знову подвоюється і дорівнюватиме 4.

Іншою важливою складовою цієї формули є припустимий рівень відхилень у фінансовій звітності. Ця величина показує граничний рівень відхилень, за якого фінансову звітність клієнта може бути оцінено аудитором позитивно. Цей припустимий рівень встановлюють суб'єктивно, і він залежить передусім від прибутку підприємства та його сукупних активів.

Після того як було визначено обсяг вибірки необхідно зробити саму вибірку. Для цього використовують таку формулу:

RA

к = ,

     (   п-1)

де k — інтервал вибірки, грн.

Наприклад, для того щоб перевірити залишок дебіторської заборгованості підприємства на кінець року, необхідно зробити вибірку за дебіторами підприємства і розіслати їм запит на підтвердження залишку їх кредиторської заборгованості. Якщо дебіторська заборгованість на кінець року дорівнює 350,000 грн, рівень припустимих різниць — 40,000 грн, а ризик помилки у фінансовій звітності був оцінений як помірний, обсяг вибірки дорівнюватиме:

п=350,000*2/40000=18

При цьому крок вибірки дорівнюватиме:

К=350,000/(18-1)=20,588

Тобто для перевірки підтверджень необхідно вибрати 18 дебіторів через кожні 20,588 грн дебіторської заборгованості.

Загальний обсяг

популяції

Загальний обсяг

вибірки

У випадку виявлення різниць при тестуванні вибірки такі відхилення екстраполюють на всю популяцію за формулою:

Загальна помилка =  Сума виявлених* популяції   різниць у вибірці

Отже, якщо сумарна заборгованість 18 вибраних дебіторів становить 87,460 грн і в цій вибірці сума виявлених різниць становить 2,356 грн, а загальна кількість дебіторів підприємства становить 134, то загальна помилка в популяції становитиме 2,356 • (134 : 18) = 17,539 грн. Саме на таку суму аудитор після проведених процедур запропонує проводку: Дт "Сумнівна дебіторська заборгованість" — Кт "Дебіторська заборгованість", тобто дебіторську заборгованість на цю суму буде зменшено, ймовірно збільшивши при цьому витрати підприємства в майбутньому.

На практиці для цієї процедури використовують спеціальне програмне забезпечення, яке за допомогою цих формул обчислює обсяг вибірки, безпосередньо проводить вибірку та потім екстраполює отримані різниці на всю популяцію. Це значно заощаджує час та дає можливість впевнитись у тому, що для вибірки використовувалися всі операції та проглядалися всі дані.

Приклад розрахунку обсягу вибірки в програмі E&Y Microstart фірми Ernst&Young.

В цій програмі обсяг вибірки (Representative Sample Size) розраховується на підставі наперед відомих загальної вартості генеральної сукупності (Population Value), допустимої похибки (Tolerable Error), наперед заданого рівня аудиторського ризику і рівня впевненості щодо інших процедур по суті (Combined Risk Assesment, Assurance from Other Substantive Procedures). У наведеному прикладі застосовується тип вибірки, за якого кожній гривні або долару надається однакова ймовірність потрапити у вибірку, таким чином при його використанні більше великих за вартістю позицій потрапляє у вибірку для тестування.

З історії відомо, що аудитори покладалися на вибірки господарських операцій, щоб провести свої тести. Але сьогодні аудитор може вирішити, що найбільшим доцільним буде перевірити всю генеральну сукупність, яка формує певний тип операцій або залишок на рахунку (або страту в межах цієї сукупності). 100-відсоткова перевірка нетипова для тестування засобів контролю; однак вона більше підходить для тестів по суті. Наприклад, 100-відсоткова перевірка може бути доцільна, коли генеральна сукупність складається з невеликого числа елементів з великим числовим значенням, коли є суттєвий ризик та інші засоби не забезпечують достатніх аудиторських доказів, або коли характер обчислення або повторюваного іншого процесу, виконуваного автоматично інформаційною системою, робить 100-відсоткову перевірку економічною, наприклад, через використання комп'ютеризованих методів аудиту (CAATs). У цьому випадку аудитори можуть встановити в програмі параметри, за якими господарські операції будуть відібрані за певним критерієм. Такі методи дослідження файлів баз даних клієнта (file interrogation techniques) будуються в основному на комп'ютерному аналізі проводок клієнта, взятих з його бухгалтерської програми. Наприклад, за допомогою відповідних програмних засобів перевіряється реальність дат оплати та оприбутковування, вказаного клієнтом в книзі купівель, і, як наслідок, правомірність зарахування ПДВ.

Таким чином, вибірка в умовах КІСП може бути залишена лише в тому випадку, якщо аудитор оцінює працездатність модуля оперативного обліку, який щоденно здійснює мільйони записів, — наприклад, системи мобільного зв'язку чи банкомати.

Комп'ютерні програми, які дають змогу проводити такий аналіз, отримали назву аудиторського програмного забезпечення загального призначення (generalized audit software — GAS). Таке програмне забезпечення складається з однієї або кількох комп'ютерних програм, які придатні для аналізу різних аудиторських ситуацій на базі різного облікового програмного забезпечення. На противагу цьому типу програм, іноді використовують також спеціальне програмне забезпечення (one-off software) для використання в якійсь одній конкретній аудиторській ситуації. Як правило, створення спеціального програмного забезпечення досить дорого коштує.

3.4.Методи дослідження файлів баз даних за допомогою спеціальних програмних продуктів.

Методи дослідження файлів баз даних клієнта базуються на тому, що більшість бухгалтерських програмних продуктів зберігає в базі даних інформацію про бухгалтерські проводки. У проводки є обов'язковий набір реквізитів (облікова фраза). Як мінімум, це такі реквізити: дата, номер, текст, сума, валюта, рахунок дебету, рахунок кредиту, інформація про об'єкти аналітичного обліку за дебетом і кредитом проводки. Сучасні програмні продукти для КСБО також зберігають інформацію про імена користувачів, дату і час проводки. Ця база даних завантажується в спеціалізовану аудиторську програму. Після цього аудитор здійснює над цими даними ряд автоматизованих процедур.

Як правило, в країнах, де дослідження файлів баз даних в комп'ютерному аудиті є поширеним явищем, аудитори для аналізу файлів даних використовують такі програмні пакети, як ACL або IDEA.

IDEA — Interactive Data Extraction and Analysis — програмний продукт, який був розроблений в 1987 р. Канадським інститутом присяжних бухгалтерів (Canadian Institute of Chartered Accountants) як інструмент для зов-нішніх аудиторів , а сьогодні підтримується і вдосконалюється фірмою CaseWare IDEA. Цікаво, що інший подібний загальновживаний аудиторський програмний продукт — ACL (Audit Command Language) також був розроблений у м. Ванкувері, в Канаді фірмою ACL Services. Таке програмне забезпечення дає змогу аудитору здійснювати такі операції з бухгалтерськими проводками:

  1.  знайти проводки, введені в незвичайний час дня, тобто не в робочий час;
  2.  знайти проводки, введені незвичайними користувачами, анонімно або під явно вигаданим ім'ям, вищим керівництвом або, наприклад, працівниками відділу інформаційних технологій;
  3.  відфільтрувати операції, що є типовими для підприємства, щоб побачити певні разові проводки;
  4.  проаналізувати пари "дебет-кредит" на відповідність
    законодавству та правилам бухгалтерського обліку;

• розрахувати окремі підсумки за рахунками, які потім звіряються із даними роздрукованих і офіційно завірених журналів і звітів.

Це спеціалізоване аудиторське програмне забезпечення може здійснювати просте підсумовування, перехресне підсумовування, вибірку і аналіз результатів, перевіряти відповідність даних в багатьох різних файлах, імпортувати й експортувати дані, проводити аналітичні процедури та розрахунки над такими "первинними" даними. Аудиторське програмне забезпечення може допомогти відшукати й певні логічні аномалії у файлах даних про виключені транзакції (наприклад, про подвійну оплату за одним номером рахунку-фактури).

Наприклад, перед аудитором поставлене завдання проаналізувати процес продажу продукції покупцям та її оплати за рік. За допомогою програми IDEA бухгалтерська програма клієнта зберігає дані в стандартному текстовому форматі поквартально. Також ми маємо наданий відділом кадрів підприємства-клієнта файл в форматі Microsoft Excel, який містить інформацію про скорочені імена користувачів (авторизацію), яким дозволене здійснення записів в бухгалтерській програмі (logon — поле Approved Auth), а також максимальні суми операцій, які дозволено проводити цим працівникам не звертаючись за дозволом до своїх керівників — поле Limit (табл. 3.1).

Таблиця 3.1. Інформація про користувачів та їх ліміти авторизації

Approved Auth

Limit

ВС

100 000,00

СW

50 000,00

HMV

100 000,00

VST

90 000,00

WJN

85 000,00

Аудитору необхідно ідентифікувати всі операції, які відбувалися протягом вихідних днів, знайти всі операції з "круглими" сумами (наприклад, всі операції, суми в яких закінчуються двома нулями). Далі аудитор має перевірити, чи всі операції здійснені тими працівниками, яким це дозволено і чи не перевищений ліміт авторизації.

На початку аудитор послідовно завантажує в програму IDEA квартальні масиви даних, щоб мати суцільну річну базу (рис. 3.3).

Програма за допомогою функції Import Assistant належним чином ідентифікувала файл як текстовий (ASCII Delimited) і запропонувала розглядати перший рядок даних як назви полів даних.

Після цього, використовуючи вбудовані засоби програми IDEA, ми вводимо в базу даних два додаткових службових поля, яких не було в базі даних бухгалтерської програми. Перше з них — NEW_AUTH нам знадобиться для перевірок з авторизації. А поле DAY_OF_WEEK буде заповнене програмою значеннями від 1 до 7 (обчислюється на підставі інформації про дату здійснення господарської операції; відповідає дням тижня з неділі — "1" до суботи — "7" послідовно). Після цього база даних про відвантаження продукції покупцям буде мати такий вигляд (рис. 3.4).

У наведеному прикладі база даних операцій з відвантаження продукції має такі поля: INVOICE_NUMBER — номер накладної, INVDATE — дата накладної, AMOUNT — сума, CKNUMBER — порядковий (контрольний) номер запису, PMTDATE — дата оплати, AUTH та NEWAUTH — ім'я користувачів, під якими вони входять в програму, DAYOFWEEK — день тижня, в якому здійснена операція.

Для того, щоб ідентифікувати всі операції, які відбувалися протягом вихідних днів, створюємо нову базу даних (пункт Direct Extraction з меню Data), яка і буде містити такі відібрані нами операції. Назвемо її "операції протягом вихідних днів" — Weekend Transactions. Після цього за допомогою редактора логічних виразів (Equation Editor) сформуємо запит, згідно з яким програма відбере всі операції, здійснені в неділю і суботу — DAY_OF_WEEK — 1 .OR. DAY_OF_WEEK = 7 (рис. 3.5).

Результат вибірки — нова база даних, яка містить 166 записів — всього операцій за рік, здійснених у вихідні дні із загальної кількості 1 017 записів.

Тепер аналогічно віднайдемо всі "заокруглені" за сумою операції. Записувати їх будемо в нову базу даних Round Payments, а логічним виразом буде AMOUNT % 100 = 0. Знак " % " відображає функцію, яка видає результат у вигляді десяткової частини числа, яке утворюється від ділен ня суми (amount) на 100. Якщо залишок нульовий, це вказує, що сума закінчується на "00". Результат виявився досить несподіваним (рис. 3.6).

-

Рис. 3.4. Вигляд бази даних з реалізації продукції в програмі IDEA 

Всього відібраними згідно з нашим запитом виявились З операції. Причому дві — взагалі з нульовими сумами. Якщо перша відібрана операція на суму 79 500 може бути підставою для подальшого розслідування на предмет шахрайства, то наявність операцій з нульовими сумами однозначно свідчить, окрім помилок, допущених виконавцями в обліку, про слабкі засоби контролю прикладної програми щодо введення даних. Програма взагалі не повинна дозволяти вводити операції з нульовими сумами.

ми щодо введення даних. Програма взагалі не повинна дозволяти вводити операції з нульовими сумами.

Рис.3.5. Формування запиту на операції, здійснені у вихідні дні в програмі IDEA

Так само просто проаналізувати дані в IDEA шляхом побудови логічного виразу, який визначає прийнятний інтервал значень для одного чи декількох полів в базі даних. Наприклад, для того, щоб відібрати всі накладні з підсумками від 4000 до 5000 грн. це рівняння має виглядати таким чином: AMOUNT >= 4000 AND AMOUNT <= 5000.

Аналогічним чином можна відібрати, наприклад, всі матеріальні цінності, що зберігаються на складі, залишок за кількістю яких більший від якогось значення.Для того щоб перевірити, чи всі операції здійснені тими працівниками, яким це дозволено, і чи не перевищений ліміт сум операцій, в межах якого їм дозволено їх здійснювати, слід до вже відкритої, основної бази даних бізнесових операцій (primary database) завантажити в програму також і файл Excel Approved Auth's з інформацією про користувачів, який буде допоміжною базою даних (secondary database) за допомогою команди об'єднання баз і отримаємо третю, об'єднану базу Payments and limits (рис. 3.6.).

Рис. 3.6. Одночасне завантаження кількох баз даних

Після цього, застосовуючи просту формулу AMOUNT > LIMIT одержуємо базу даних записів операцій Transactions over Limit, які здійснені з перевищенням дозволених лімітів. Ця база даних містить 205 записів. Причому з них насправді перевищено ліміт тільки в 35 операціях, а 170 записів попали в цю базу, тому що інформацію про цих користувачів відділ кадрів нам не надав взагалі, тобто таких користувачів немає у відповідному файлі Excel (відповідно, програма вважає цей ліміт таким, що дорівнює нулю). Якщо це не наслідок навмисного зламу системи ззовні, то, швидше за все, нові працівники просто могли використати для входу в систему ідентифікатори вже звільнених працівників, що знову ж таки свідчить про слабкі вбудовані в бухгалтерську програму засоби контролю доступу або ж про неузгодженість в роботі бухгалтерії і відділу кадрів.

Цікавою для подальшого вивчення аудитором щодо виявлення, наприклад, шахрайства може бути інформація про те, з якими покупцями мали справу наші працівники — продавці або агенти, скільки вони уклали угод з кожним покупцем і на які загальні суми. Для цього використовується функція програми, що дає змогу підсумовувати за ключовими полями (рис. 3.7).

У результаті отримуємо спеціальну базу даних, яка містить 123 записи (відповідає кількості найнятих підприємством продавців). Тут поле VENDOR містить код нашого продавця, поле PAYEE — назву покупця, поле NO_OF_ RECS — кількість угод, поле AMOUNT — загальну суму за цими угодами. Причому тут же можна переглянути і записи за кожною угодою зокрема.

Надалі, якщо ми підозрюємо когось з наших працівників в шахрайстві, то ми могли б, наприклад, за допомогою програми порівняти номери домашніх телефонів продавців та підприємств-покупців, адреси тощо.

Аудитор може використати для аналізу файлів клієнта і досить поширене програмне забезпечення із пакета програм Microsoft Office, наприклад Microsoft Access.

На рис. 3.8. наведений файл lsentry.dbf бази даних однієї із типових конфігурацій програми "1С: Бухгалтерия", відкритий за допомогою Microsoft Access.

Звичайно, в базі даних будь-якої програми дані зберігаються у певному внутрішньому форматі, і для того, щоб над ними здійснювати певні операції, необхідно знати цей формат. Так, з наведеного прикладу є очевидним, що в полях DATE і SUM зберігаються відповідно дата і сума проводки. А от в полях TIME, ACCDTID та ACCKTID — відповідно точний час введення проводки, рахунок дебету і рахунок кредиту у внутрішньому комп'ютерному форматі.

Рис. 3.7. Результат підсумовування продажу за продавцями та покупцями

Поле CURRID призначене для зберігання інформації про тип валюти суми проводки (в прикладі — "0" — українська гривня, може бути "1" — долар США тощо). Коли відомий формат зберігання даних, аудитор може використовувати для їх обробки засоби власне СУБД Access.

Рис.3.8. Структура файла бази даних бухгалтерських проводок програми "1С: Бухгалтерия 7.7"

Якщо в КСБО передбачена можливість збереження облікової інформації в одному зі стандартних форматів, наприклад Microsoft Excel, то завдання аналізу таких даних може значно спроститися. Наприклад, така можливість передбачена в конфігурації програми "1С: Бухгалтерия" для автоматизації обліку і планово-фінансової роботи українських університетів — бюджетних установ компанії "Тен-Тек" . Тут реалізована можливість формувати журнал операцій з проводками в зручному для перегляду і роздруку вигляді. Після перенесення в Excel дані виглядають таким чином (рис. 3.9.).

Далі можна аналізувати дані або вручну стандартними засобами Excel, або створити програму із застосуванням мови Microsoft Office Visual Basic. Такий набір інструментів фактично дасть змогу аналізувати й перевіряти Головну книгу й оборотно-сальдові відомості, а також, наприклад:

Рис.3.9.Фрагмент з журналу проводок(перенесено в Excel з програми "1С: Бухгалтерия")

  1.  отримати структуру будь-якого рахунку, тобто з якого дебету склався кредит того чи іншого рахунку з розбиттям за місяцями (у сумарному або відсотковому до загального обороту вираженні) або навпаки;
  2.  отримати вибірку некоректних проводок;
  3.  отримати вибірку значущих проводок (встановивши
    відсоток значущості до загального обороту);
  4.  отримати вибірку сторнуючих проводок;
  5.  перевірити проводки списання МШП;
  6.  перевірити проводки нарахування амортизації нематеріальних активів;
  7.  перевірити проводки нарахування амортизації основ
    них засобів;
  8.  перевірити проводки нарахування платежів до бюджету;
  9.  розрахувати структуру витрат;
  10.  розрахувати і звірити показники податкових декларацій за ПДВ;
  11.  провести аналіз даних, наприклад, порівняти оборот
    за певним рахунком з оборотами за іншими рахунками.

Таким чином, програма може відстежити проводки з очевидно неправильною кореспонденцією рахунків (точніше кажучи, кореспонденції рахунків, які неможливі за правилами бухгалтерського обліку)33; вибрати проводки з великими сумами, сторнуючі тощо. Все це дає можливість скласти подальший план аудиторської перевірки, який буде спрямований на найбільш ризикові зони стосовно помилок.

Насправді не тільки файли баз даних, що містять бухгалтерські проводки, можуть бути досліджені. Це можуть бути також, наприклад, бази даних із довідниками аналітичних об'єктів. Багато важливої інформації містять також журнали обліку завдань або системні журнали (log-файли), зокрема дані про використання ресурсів. Досліджуючи такі файли, можна, наприклад, порівняти плановий час роботи програми або працівника з фактичним і виявити всі серйозні розбіжності, що потребують подальшого розслідування.

Іноді аудитор використовує спеціальне програмне забезпечення навіть для управління і контролю змісту програмних файлів з кодом — файлів-бібліотек (dll-файли). Таке програмне забезпечення реєструє всі зміни в коді, модулях і операційних системах. Пошук несанкціонованих змін у цих журналах допоможе розкрити порушення цілісності даних.

Поширеним в українській практиці способом тестування облікового програмного забезпечення є його опосередкована перевірка за допомогою спеціальних бухгалтерських програм, підготовлених аудиторською фірмою. Ця методика тестування передбачає використання тільки реальних даних клієнта, що їх обробляють одночасно в комп'ютерній системі бухгалтерського обліку клієнта та в програмному забезпеченні, яке використовує аудитор. У світовій практиці вона має назву паралельного виконання обчислень (parallel simulation). Таку перевірку здійснюють шляхом рівномірного моделювання облікового циклу з програмною перевіркою всіх можливих параметрів облікового процесу. На основі цих моделей, що відображають особливості господарської діяльності конкретного підприємства, аудитор здійснює імітаційну обробку даних зі структурою, аналогічною структурі реального програмного забезпечення. Отримані вихідні дані порівнюють із реальними даними, і за результатами порівняння виявляють відхилення, що їх фіксують у протоколі перевірки.

Таким чином, за допомогою спеціальних програмних засобів здійснюють перевірку, моделювання й аналіз облікових даних з метою визначення їх повноти, якості, правомірності й вірогідності. Для цього виконують порівняння змодельованих облікових даних з реальними даними інформаційної системи, а також здійснюють тестування розрахунків і перерахунків, підсумовування, повторне упорядкування і формування звітних даних і їх порівняння з реальними даними. Крім цього, здійснюють контроль правильності відновлення даних .

Метод паралельного моделювання позбавляє від необхідності готувати тестові дані й дає змогу аудитору проводити тести неявно і з більшою частотою, не заважаючи роботі операційної системи і не змінюючи файлів КІСП клієнта.

Для підприємств, з якими аудиторська фірма має довгострокові договірні відносини, можуть бути розроблені спеціальні вбудовані аудиторські модулі, які вбудовують у наявні програмні засоби обліку, контролю й аудиту (рис. 3.10.) і які дозволяють контролювати необхідні параметри облікового процесу.

За допомогою цих модулів виконують відбір операцій, що становлять інтерес з погляду аудиторської перевірки. Вбудований аудиторський модуль фільтрує файли операцій та проводок і шукає аномалії в даних або в їх співвідношенні, наприклад, факти використання кредитної картки в дванадцяти країнах в межах двох годин. Відібрані при цьому дані групують за операціями у спеціальну аудиторську базу даних для подальшої обробки.

Рис. 3.10. Збирання аудиторської інформації за допомогою вбудованого контрольного модуля

Вбудовані програмні модулі застосовують такі види контролю даних:

  1.  систематичний контроль, коли тестування облікових даних здійснюють за всіма основними критеріями (діапазон, зіставлення з нормативно-довідковою інформацією тощо);
  2.  вибірковий контроль, здійснений на деякій вибірці
    даних (за визначеними операціями, за окремими задачами).

Модулі для безперервного систематичного тестування простіше за все можна використовувати для систем, в яких вже передбачене ведення журналу помилок та реєстрації нетипових подій (transaction log) — наприклад, програм для електронної комерції. Безперервний моніторинг в цьому випадку дозволить аудитору оцінити не тільки ризик контролю, а й притаманний (властивий) ризик, оскільки тут саме ведення бізнесу цілковито базується на функціонуванні комп'ютерної системи. Прикладами подій, на які реагують подібні модулі, в цьому випадку можуть бути автоматична відмова від обслуговування у випадку, коли замовлення на товари більше від деякої визначеної суми, або якщо ціна перевищує заданий діапазон.

Вбудовані аудиторські модулі слід застосовувати тільки при повній згоді й підтримці з боку керівництва підприємства клієнта і працівників внутрішнього аудиту (якщо така служба є на підприємстві), оскільки подібне втручання в схему і реалізацію засобів аудиту може поставити під питання незалежність аудитора.

3.5. Класифікація програмного забезпечення для проведення аудиту

У принципі, аудитори можуть у своїй діяльності використовувати широкий набір програмних засобів різного призначення, які, як правило, не об'єднані в єдину комплексну систему. На певних стадіях використовують стандартні офісні програми, такі як Word, Excel, які є допоміжними під час проведення аудиту, роблять роботу зручнішою, а подання інформації наочним. На основних же етапах, таких як аналітичні процедури, тестування засобів контролю та детальні перевірки, на перший план виходить використання спеціального програмного забезпечення, яке безпосередньо дозволяє за його допомогою швидко та ефективно проводити аудит.

Весь процес роботи зі спеціальним аудиторським програмним продуктом можна розділити на такі етапи.

На першому етапі аудитор визначає завдання, які необхідно вирішити під час перевірки за допомогою спеціального програмного забезпечення.

На другому етапі складають план виконання поставлених завдань і роблять оцінку реальності застосування аудиторських програмних засобів. Для цього проводять аналіз форми і методів бухгалтерського обліку на підприємстві, оцінюють можливість застосування спеціального аудиторського програмного забезпечення. При цьому встановлюють обсяг облікової інформації, обсяг роботи аудитора, кількість часу, необхідного для проведення аудиторської перевірки. На цьому етапі визначають потрібну потужність обчислювальної техніки і складають графік виконання аудиторських робіт із зазначенням обсягів виконуваних робіт, термінів виконання, конкретних виконавців і форми завершення.

На третьому етапі здійснюють налагодження стандартних програмних засобів, розробку нових засобів, необхідних для цієї аудиторської перевірки. Наявні програмні засоби адаптуються під фактичні облікові дані.

На четвертому етапі здійснюють перевірку сформованих на електронних носіях даних з метою підтвердження їх незмінності, оцінюють стан підприємства, яке перевіряють, проводять тестування й обробку за графіком, аналіз отриманої інформації, її оцінку за допомогою бази знань і формують висновок за тими позиціями, які перевіряють.

Враховуючи специфіку аудиторської діяльності, вимоги до аудиторського програмного забезпечення можуть бути такими.

  1.  Наявність розвинутих засобів контролю операцій. Контроль може здійснюватися не тільки у момент оформлення
    документа або проводки, як це прийнято в бухгалтерських
    програмах, а й тоді, коли в цьому виникає потреба.
  2.  Гнучкість. Оскільки аудиторам доводиться працювати з різними підприємствами, і в кожного з них свої облікова політика, форми звітності й навіть план рахунків, то програма повинна мати можливість швидко переналагоджуватися на специфіку страхової компанії, торгового дому, бюджетної організації, виробничої компанії. У комп'ютерних аудиторських системах повинні враховуватися як загальні вимоги і
    стандарти аудиту, так і особливості обліку фірм-клієнтів.
  3.  Ергономічність. Це означає наявність засобів для зручного введення великих обсягів інформації, оперативного і простого формування звітів. Іншими словами, програма має бути розрахована не на програміста або оператора, а на аудитора, знання якого в галузі комп'ютерної техніки можуть бути обмежені.

4. Зв'язок нарівні баз даних з бухгалтерськими програмами. Необхідні додаткові засоби для введення і виведення даних, представлених в різних форматах.

Крім основних вимог, аудиторському програмному забезпеченню (як і будь-яким іншим прикладним програмам) мають бути притаманні простота освоєння, швидкодія, професійна оперативна підтримка з боку розробників.

Ринок аудиторського програмного забезпечення тільки починає розвиватися. На світовому ринку представлені використовувані у роботі аудиторів програмні засоби різних типів (рис. 3.11).

Рис. 3.11. Програмні засоби, які використовують у своїй роботі аудитори

Розглянемо деякі з цих класів програмного забезпечення.

Пакети прикладних програм загального і проблемно-орієнтованого призначення. Ця група включає широкий набір готових універсальних програм, з якими повинен уміти працювати аудитор. За функціональним призначенням і застосуванням їх в аудиті виділяють такі підгрупи:

  1.  текстові процесори;
  2.  табличні процесори;
  3.  правові бази даних і довідники;
  4.  бухгалтерські програми та їх окремі модулі;
  5.  спеціалізовані статистичні пакети загального призначення;
  6.  програми фінансового аналізу та їх окремі модулі;
  7.  програми електронного документообігу;
  8.  програми автоматизації управлінських функцій.

Текстові процесори використовують на всіх стадіях аудиту, що потребують створення та якісного оформлення аудиторських документів. їх застосовують при складанні аудиторських програм і планів; договорів; різних довідок і запитів; робочих документів аудиторської перевірки; при листуванні з клієнтами і третіми особами; підготовці аудиторського висновку і рекомендацій керівництву підприємства тощо. Найчастіше аудиторські фірми використовують Word фірми Microsoft.

Табличні, процесори з потужними обчислювальними можливостями, засобами ділової графіки, обробки текстів і ведення баз даних набули широкого застосування при проведенні аудиторських перевірок. їх використовують при складанні різних аналітичних таблиць; реалізації аналітичних процедур, насамперед пов'язаних з оцінкою фактичних показників бухгалтерської звітності й аналізом фінансового стану економічного об'єкта, що перевіряється; поданні отриманої інформації у графічному вигляді; складанні альтернативних прогнозних балансів; при створенні різних робочих табличних документів, наприклад кошторисів, фінансової звітності тощо. Убудовані функції, у тому числі фінансові, статистичні функції, можливість розв'язання задач на кшталт "що буде, якщо" зробили табличні процесори популярними серед аудиторів. Найбільшого поширення набули табличні процесори Excel.

Правові бази даних і довідники забезпечують інформаційно-консультаційне обслуговування аудиторів у процесі проведення перевірок, що дає їм змогу з достатньою впевненістю зробити висновок про відповідність бухгалтерського обліку підприємства документам і вимогам нормативних актів, що регулюють порядок ведення бухгалтерського обліку.

Програми електронного документообігу дають змогу накопичувати документи, зберігати, здійснювати швидкий пошук і доступ до документів в електронних архівах, виконувати їх об'єднання, а також забезпечують групову роботу при створенні документа. Наприклад, аудиторська фірма Ernst&Young використовує систему DOCS Open, розроблену компанією PC DOCS Inc. Часто аудиторські фірми під час перевірки натрапляють на такі системи й у клієнтів. Тоді вони дають оцінку правильності її застосування. Крім того, якщо система електронного документообігу функціонує в клієнта, то це спрощує і прискорює проведення аудиту на об'єкті через швидкий доступ і одержання потрібних документів.

Спеціалізовані статистичні пакети загального призначення аудитори використовують при проведенні досить складних розрахунків. Вони реалізують набір різних статистичних методів, дають змогу здійснювати обмін з найбільш поширеними СУБД, мають можливість графічного подання даних, зручний для користувача інтерфейс. Сьогодні найбільш популярні з них Mathematics, Statistics, Quick, Statgraphics.

Програми фінансового аналізу та їх окремі модулі. Для реалізації процедур аналізу фінансово-господарської діяльності економічних суб'єктів поряд з табличними процесорами аудиторські фірми використовують спеціальні програми фінансового аналізу. Вони орієнтовані на аналіз фінансового стану підприємства, вироблення стратегічних і тактичних рішень управління підприємством.

Програми аналізу дають змогу виконати перевірку фінансової, податкової й іншої звітності завдяки закладеному в них механізму звіряння взаємозалежних показників. Вони забезпечують проведення фінансового аналізу за різними методиками і розраховують велике число економічних показників, дозволяють складати й аналізувати бізнес-плани. Деякі програми містять можливість трансформації фінансової звітності до міжнародних стандартів МСФЗ, наприклад, Pro-Invest Consulting (Audit Expert, Project Expert). Останнім часом засоби фінансового аналізу часто інтегрують в системи бухгалтерського обліку та управління підприємством, наприклад у розробки фірм "Галактика", "Інфософт", "Інтелект-Сервіс", "R-Style Software Lab" .

Програми автоматизації управління аудитом використовують для автоматизації управлінських процедур самих аудиторських фірм . Ці програми дають змогу:

  1.  щодо фінансів — розрахувати собівартість виконаних робіт на основі погодинної оплати, вести облік виконаних
    робіт і формувати рахунки за виконані роботи, робити роз
    рахунки і аналіз дебіторської заборгованості;
  2.  стосовно документообігу — формувати довідники і тексти договорів, акти про виконані роботи;
  3.  щодо управління персоналом — вести облік витрат часу аудиторів з видів робіт стосовно клієнтів і інших робіт;
  4.  в інформаційно-аналітичній сфері — вести докладні
    довідники клієнтів, структурних підрозділів компанії і їх
    співробітників; видів робіт і годинних ставок;

5) щодо статистичного аналізу — виконувати вибірку даних за довільними критеріями, одержувати статистичні форми звітності.

Такі програми використовують протягом всього процесу аудиту: на етапі планування (планування часу та розподілу обов'язків, граничних показників фінансової звітності, показників суттєвості), на етапі організації аудиту (робота з різноманітними електронними документами, їх обробка, групування, аналіз, агрегування), на етапі контролю (внутрішня та зовнішня перевірка роботи аудиторської команди, відповідність внутрішнім стандартам та стандартам аудиту), на етапі підготовки та обґрунтування аудиторського висновку.

3.6.Програми аудиту внутрішньо фірмових стандартів.

У світовій практиці в аудиторській консультаційній діяльності використовуються системи підтримки прийняття рішень при наданні послуг з діагностики бізнесу, приватизації, дослідження ринків, оцінки бізнесу тощо, а також експертні системи при моніторингу діяльності клієнтів, підготовці фінансової звітності тощо.

На сьогодні аудиторські фірми розробили і використовують спеціальні інформаційні системи, орієнтовані на внутрішню регламентацію аудиторської діяльності з застосуванням внутрішньофірмових стандартів. Прикладами таких програм є системи провідних аудиторських фірм, таких як KPMG, яка використовує програму Vector 6, Pricewater-houseCoopers з системою My Client та Deloitte&Touche, спеціальною інформаційною системою якої є Audit System/2. Розглянемо структуру і функції програмних аудиторських систем на прикладі програми фірми Deloitte & Touche. Система Audit System/2 (AS/2), наприклад, поєднує можливості текстового і табличного редакторів і програми для складання оборотно-сальдової відомості. Вона призначена для полегшення комплексної підготовки робочої документації і звітності та проведення їх консолідації. Структура цієї програми наведена на рис. 3.12.

Робочі документи

Робота у філіях

Пробний баланс

Менеджер документів

Доступ до бази даних

Планування аудиту

Аналіз файлів клієнта

Рис. 3.12.Структура програми Deloitte & Touche Audit System/2

Модуль управління документообігом (менеджер документів) забезпечує організацію системи папок, щоб допомогти стежити за масою інформації, її звичайно зберігають в аудиторських файлах, — такою як робочі папери, плани аудиту, аудиторські програми і контрольні таблиці, меморандуми, пробні баланси, фінансові звіти, контактні бази даних, допомогти керувати цією інформацією й організовувати її. Система також спрощує процес обміну інформацією між членами аудиторської групи, дозволяючи їм працювати одночасно з високим ступенем безпеки.

Функції пробного балансу AS/2™ містять багаторівневу консолідацію звітів і конвертацію іноземних валют, журнал коректувань і можливість готувати відомості, плани аналітичних оглядів і фінансові звіти. Тісна інтеграція з табличним редактором Excel дає змогу готувати й аналізувати бази пробних балансів. Зручність імпорту дозволяє переносити комп'ютеризований пробний баланс клієнта в електронному вигляді прямо в програму.

Аналіз ринку спеціалізованих аудиторських програмних продуктів в Росії показує його крайню обмеженість (в Україні в продажу такого програмного забезпечення немає). Фактично, пропонується автоматизація окремих процедур і задач, причому, частіше за все, за авторською методикою розробників. В огляді аудиторських програм, опублікованому в російському журналі "Двойная запись", з цього приводу мовиться таке: "На відміну від Заходу, де аудиторських програм хоч відбавляй, ситуація на вітчизняному ринку в цій сфері далека від блискучої. Ми нарахували всього п'ять продуктів російського виробництва для аудиторів"35. Розглянемо деякі з цих програм.

Система "Асистент Аудитора" фірми "Сервіс-аудит" є професійною інформаційно-довідковою системою. Вона призначена для аудиторських фірм, приватних аудиторів, а також фірм і підприємств, що прагнуть підвищити ефективність роботи служб внутрішнього аудиту і фінансово-економічних служб. "Асистент Аудитора" дає змогу проводити пошук необхідних матеріалів різними методами, що реалізовані в цій системі (тематичний пошук, контекстний пошук, пошук за найменуванням, видом і типом документа тощо). Система "Асистент аудитора" також дозволяє систематизувати виконання аудиторських процедур, починаючи з попереднього вивчення клієнта і закінчуючи оформленням аудиторського висновку, сформувати ряд робочих документів, необхідних для документування аудиту, що дає змогу здійснювати ефективний контроль якості аудиторських перевірок, а також забезпечити аудитора (бухгалтера, економіста) довідковим матеріалом з широкого спектра питань бухгалтерського обліку, оподаткування і фінансового аналізу.

Система складається з чотирьох умовно незалежних тематичних розділів.

Розділ "Плани і програми аудиту" містить бланки документів, які слід формувати до підписання договору на проведення аудиту, зразки договорів на різні види аудиторських послуг, бланки і зразки документів, які складаються на етапі планування аудиторської перевірки і складання програми аудиту, а також методичні матеріали, які можуть бути використані для розробки внутрішньофірмо-вих стандартів аудиторської фірми. Анкети (листи опитування), що входять в цей розділ, можуть застосовуватися не тільки аудиторськими фірмами. З їх допомогою служби внутрішнього аудиту або фінансово-економічні служби підприємства можуть провести тестування системи внутрішнього контролю й організації бухгалтерського обліку. Розділ "Робочі документи аудитора" містить анкети з різних ділянок бухгалтерського обліку. Вони покликані допомогти при виконанні аудиторських процедур і тестуванні окремих ділянок бухгалтерського обліку на підприємстві. У цей розділ також включені методичні матеріали, покликані допомогти в підготовці й оформленні висновку" за підсумками аудиторської перевірки.

Розділ "Консультант аудитора" містить довідкові таблиці з питань бухгалтерського обліку, оподаткування, фінансового аналізу діяльності підприємств, а також оформлені У вигляді таблиць нормативи, ставки, індекси, що використовуються для розрахунків показників окремих господарських операцій, сум податків.

Розділ "Основні нормативні документи" має довідковий характер і включає основні законодавчі і нормативні відомчі акти, які регулюють аудиторську діяльність і порядок ведення бухгалтерського обліку.

Бази даних системи "Асистент Аудитора" є набором аудиторських процедур, оформлених у вигляді анкет (листів опитування), бланків, робочих карт, методик, довідкових таблиць. Велика частина документів, включених у бази даних, є оригінальними авторськими розробками, створеними фахівцями з великим практичним досвідом аудиту Інформаційні ресурси інформаційної системи "Асистент Аудитора" постійно поповнюються, оновлюються, актуалізуються відповідно до змін у законодавчій і нормативній базі з аудиту і бухгалтерського обліку.

Програма "Помощник аудитора", створена російською фірмою "Гольдберг-аудит", є спробою створити аудиторську систему, спрямовану на розв'язання завдань аудиту на всіх етапах його здійснення.

Структура автоматизованої аудиторської системи складається з чотирьох основних блоків, функції яких відповідають чотирьом етапам проведення аудиту.

Блок підготовчого етапу містить анкету для підприємства, яке перевіряють, і бланки-тексти листів, якими обмінюються аудитор і клієнт перед висновком договору на аудит — лист-пропозиція і лист-зобов'язання. На цьому етапі здійснюють збір даних про клієнта та отриману інформацію вводять у комп'ютер для подальшого використання в інших блоках.

Блок планування містить математичні моделі й алгоритми розрахунків величин аудиторського ризику, рівня суттєвості та вибірки. Через бланки-розрахунки вводять необхідні для розрахунків вихідні дані, що відповідають типу підприємства, яке перевіряють. Введення даних можна здійснювати як вручну, так і автоматично з бухгалтерської бази. Останнє є пріоритетним, тому що розрахунки суттєвості й вибірки для конкретних процедур ґрунтуються на знанні кінцевого сальдо, дебетових і кредитових оборотів за конкретними рахунками. У результаті розрахунків програма визначає всі необхідні для планування величини.

Блок процедур аудиту найбільший і найважливіший. Основним завданням цього блоку є підготовка матеріалів для аналітичної частини аудиторського висновку. Він містить такі елементи: робочі програми аудиту за розділами; бланки-процедури для кожного розділу аудиту; бланки - тести для окремих розділів аудиту; висновки за розділами аудиту. У цьому блоці реалізують стратегію оптимізації обсягу інформації, яку вводять, з мінімізацією ризику аудиторських помилок. Це найбільш складна частина системи, спрямована на встановлення зв'язків між інформацією аудитора, що її вводять, при виконанні процедур, розрахунковими значеннями суттєвості та вибірки і формуванням висновку аудитора за конкретним розділом.

Суттєвою допомогою в роботі аудитора на цьому етапі перевірки можуть бути додаткові засоби довідкового характеру: виклик довідково-правової системи; коротка довідка із законодавчих документів; перелік типових помилок для цієї процедури; методика виконання процедури тощо.

Блок заключного етапу, який має вступну, аналітичну і заключну частини, містить бланки-шаблони для підготовки офіційного висновку. Форми вступної і заключної частин мають стандартизований вигляд. У блоці є бланк письмової інформації аудитора керівництву економічного суб'єкта.

Іншою подібною програмою є також російська Abacus Professional, яка охоплює практично всі стадії проведе аудиторської перевірки. При першому знайомстві з  клієнтом аудитор за допомогою програми може провести експрес-аудит бухгалтерської звітності. Для спрощення  цієї процедури в програмі реалізована можливість введення  даних з інших бухгалтерських програм у форматах СУБД Btrieve, Clarion, Clipper, Foxpro тощо. Використання цих прийомів допомагає оперативно знайти ділянку обліку клієнта, де можливий ризик виникнення помилки й ухвалити рішення про проведення або не проведення аудиторської перевірки. Під помилкою, яку виявляє комп’ютер, розуміють не тільки математичне, а й логічне  нестикування. Експрес-аудит дає змогу також приблизно оцінити обсяги вибірки, терміни проведення перевірки, с аудиторського гонорару.

На стадії перевірки правильності оформлення документів і пов'язаних з ними проводок, накопичувальних регістрів звітів аудитор може використовувати спосіб дослідження якою-небудь ознакою, наприклад за сумами або контрагентами, які здаються "підозрілими". Під дослідженням (а trial) розуміють процедуру, під час якої аудитор перевіряє деякі первинні документи і їх відображення в регістрах синтетичного і аналітичного обліку. Відповідна заключна кореспонденція рахунків, жорстко прив'язана в програмі до цих документів, дає змогу зробити висновок про правильність (або неправильність) відображення цієї господарської операції в бухгалтерському обліку.

Для формування звітів довільної форми є спеціальний конструктор документів і звітів — Abacus Designer, за допомогою якого розробники допрацьовують звіти за технічним завданням самих аудиторів. На базі Abacus Designer можна також підготувати контрольні акти звірки розрахунків, спеціальні звіти, в яких інформація може бути представлена в різних розрізах, з різною глибиною аналітики.

Одним з найбільш складних напрямків аудиторської діяльності є оптимізація облікової політики підприємства. Оскільки Abacus Professional підтримує роботу з декількома базами даних, аудитор може моделювати ситуацію зміни облікової політики фірми-клієнта на основі реальних даних. Таким чином, аудитор може обґрунтувати, які прибутки або втрати принесе фірмі-замовнику зміна облікової політики, і дати зважені рекомендації щодо стратегічного планування.

Ще одним прикладом є програмно-апаратний комплекс "ЭкспрессАудит: ПРОФ", призначений для вирішення повного циклу завдань з проведення аудиторської перевірки фінансово-господарської діяльності комерційного підприємства та організації від етапу підготовки і планування аудиту до етапу формування аудиторського висновку.

Комплекс "ЭкспрессАудит: ПРОФ" складається з двох частин. Перша — "Єдиний центр планування і проведення аудиту". Його функції: підготовка і планування аудиту; розробка програми аудиту; розподіл об'єктів аудиту за виконавцями; вивантаження персональних завдань виконавцям на носій даних для проведення аудиту на виїзді; збір, систематизація й обробка результатів аудиторської перевірки; формування звітної документації у форматі Microsoft Word; зберігання результатів аудиторських перевірок.

Наступний модуль — "Мобільне робоче місце аудитора" — призначений для вирішення таких завдань: завантаження персональної програми перевірки за виділеними об'єктами аудиту; проведення аудиту і збір аудиторських доказів за виділеними об'єктами аудиту відповідно до персональної програми перевірки; систематизація й обробка результатів аудиторської перевірки в межах виділених об'єктів аудиту; зберігання результатів перевірки; передача результатів проведеної перевірки об'єктів аудиту в модуль планування і проведення аудиту.

У програмному комплексі "ЭкспрессАудит: ПРОФ" етап планування аудиторської перевірки, будучи початковим етапом проведення аудиту, дає змогу вирішувати завдання розробки загального плану і програми аудиту, включаючи розподіл робіт між учасниками аудиторської групи.

На етапі планування аудиторської перевірки керівником робіт проводиться розподіл аудиторської перевірки на окремі об'єкти аудиту відповідно до таких критеріїв: обсяг робіт з перевірки; рівень підготовленості фахівців; територіальна віддаленість тощо.

Для кожного об'єкта аудиту керівник робіт формує індивідуальну програму перевірки і закріплює за ним відповідальних виконавців зі складу аудиторської групи, визначеної на етапі підготовки аудиторської перевірки. Сукупність індивідуальних програм перевірки виділених об'єктів аудиту є підсумковою програмою аудиторської перевірки, на підставі якої формуються загальний план і програма аудиту.

У програмний комплекс "ЭкспрессАудит: ПРОФ" на етапі підготовки до проведення перевірки здійснюється внесення в систему початкових даних, необхідних для початку робіт з проведення аудиту в організації, що перевіряється (підприємстві). Далі на етапі підготовки до проведення аудиту керівником робіт в систему вносяться такі дані: реквізити організації, що перевіряється (підприємства); період аудиту; кількість людино-годин, необхідна для проведення аудиторської перевірки; планований аудиторський ризик; планований рівень істотності; перелік первинних документів, що підлягають перевірці; склад аудиторської групи.

Далі в систему вводяться планований аудиторський ризик і планований рівень суттєвості, а також визначається склад первинних документів, що підлягають перевірці, вибираються документи, форми бухгалтерської і податкової звітності, які планується перевірити під час проведення перевірки по організації (підприємству) в цілому. Для автоматизації процедури створення індивідуальних програм перевірки об'єктів аудиту в програмному комплексі "ЭкспрессАудит: ПРОФ" реалізований спеціальний "Майстер створення об'єкта аудиту", який викликається користувачем кожного разу, коли потрібно визначити новий об'єкт аудиту в меясах поточної аудиторської перевірки.

У програмному комплексі "ЭкспрессАудит: ПРОФ" передбачено два варіанти проведення аудиторської перевірки сформованих об'єктів аудиту: за повною і за скороченою програмою. Залежно від вибраного варіанта система формує відповідно повний або скорочений перелік питань, що потребують обов'язкового контролю на етапі проведення аудиту. Якщо потрібно провести перевірку за скороченою програмою, то в "Майстрі створення об'єкта аудиту" слід вказати варіант перевірки — Експрес-аудит.

За кожним елементом типового об'єкта аудиту закріплений перелік питань, що підлягають обов'язковому контролю на етапі проведення аудиторської перевірки. Отже, процес формування програми перевірки об'єкта аудиту полягає в послідовному відборі необхідних елементів типових об'єктів аудиту із загального списку. Заключним етапом створення нового об'єкта аудиту в рамках поточної аудиторської перевірки є призначення відповідальних виконавців робіт з перевірки даного об'єкта аудиту зі складу членів аудиторської групи, визначеної на етапі підготовки аудиту.

Результатом роботи з системою на етапі планування аудиторської перевірки є повністю сформовані й готові до виконання загальний план і програма аудиту. На цьому етапі фахівці, що беруть участь в аудиторській перевірці, за допомогою засобів, вбудованих в програмний комплекс "Экспресс Аудит: ПРОФ", можуть: детально ознайомитися з повним обсягом робіт; отримати перелік питань, що підлягають аудиту і витягання з нормативних документів, знання яких потрібне при проведенні перевірки закріплених за виконавцем об'єктів аудиту; скласти персональні листи опитування, записати індивідуальну програму перевірки на носій даних для роботи на виїзді.

У програмному комплексі "Экспресс Аудит: ПРОФ" на етапі здійснення аудиторської перевірки проводиться аудит фінансово-господарської діяльності комерційного підприємства відповідно до програми, розробленої на етапі планування аудиторської перевірки.

Вся методична частина системи реалізована у вигляді повнотекстової бази даних, що містить перелік питань (понад півтори тисячі), що охоплюють бухгалтерський облік і оподаткування фінансово-господарської діяльності підприємств.

У процесі аудиту система в діалоговому режимі послідовно пропонує аудитору питання, що потребують обов'язкового контролю відповідно до персональної програми перевірки закріплених за ним об'єктів аудиту. Якщо під час перевірки фінансово-господарської діяльності організації (підприємства) з контрольних питань, пропонованих системою, аудитор виявляє невідповідність або неповну відповідність вимогам законодавства, він має нагоду зробити про це відмітку у відповідному вікні програми, здійснюючи тим самим систематизований збір аудиторських доказів і формуючи послідовно робочі матеріали аудиторської перевірки.

На етапі оформлення результатів аудиторської перевірки програмний комплекс "ЭкспрессАудит: ПРОФ" дає змогу сформувати в автоматичному режимі підсумкові документи за наслідками проведеної перевірки на основі бланків документів, представлених в бібліотеці системи. Таким чином, програмно-апаратний комплекс "Экспресс Аудит: ПРОФ" може використовуватися аудиторськими організаціями для розробки загального плану і програми аудиту; створення робочої документації аудиту; вивчення і оцінки систем бухгалтерського обліку і внутрішнього контролю економічних суб'єктів, що перевіряються; отримання аудиторських доказів про достовірність бухгалтерської звітності; отримання достовірного уявлення про дотримання економічним суб'єктом вимог нормативних актів; організації внутрішньофірмового контролю якості аудиту; проведення первинного аудиту початкових і порівняльних показників бухгалтерської звітності; підготовки письмової інформації аудитора й аудиторського висновку за наслідками аудиту, а також може розглядатися як помічник на кожному етапі виконання різних аудиторських процедур — починаючи з моменту оформлення договору на надання аудиторських послуг і закінчуючи безпосередньо аудиторською перевіркою.

Питання для контролю

  1.  Типи комп’ютеризованих методів аудиту.
  2.  Модель аудиторської програмної системи.
  3.  Роль вибірки при проведені комп’ютерного аудиту.
  4.  Особливості програмного пакету ACL .
  5.  Особливості програмного пакету IDEA
  6.  Особливості програмного пакету 1С-Бухгалтерія.
  7.  Особливості програмного пакету Excel
  8.  Методи дослідження файлів баз даних за допомогою спеціальних програмних продуктів.
  9.  Класифікація програмного забезпечення для проведення аудиту.
  10.  Вимоги до аудиторського програмного забезпечення
  11.  Призначення та роль прикладних програм загального призначення.
  12.  Призначення правових баз даних і довідників.
  13.  Призначення програм електронного документообігу.
  14.  Спеціалізовані математичні і статистичні програми
  15.  Програми фінансового аналізу.
  16.  Програми автоматизації управління аудитом
  17.  Програми аудиту внутрішньо фірмових стандартів.

Тема 4. ОСОБЛИВОСТІ АУДИТУ ПІДПРИЄМСТВ, ЯКІ ЗАСТОСОВУЮТЬ КОМП'ЮТЕРНІ ІНФОРМАЦІЙНІ СИСТЕМИ

4.1.Особливості аудиту при застосуванні КІСП

4.2. Вивчення й оцінка КІСП

4.3. Аудиторський ризик при використанні КІСП

4.4.Методика тестування КІСП аудитором.

4.1.Особливості аудиту при застосуванні КІСП

Комп'ютеризація принципово не змінює елементів методу бухгалтерського обліку. Найбільші зміни відбуваються в технології обробки облікової інформації, що виражається в порядку побудови комп'ютерних форм бухгалтерського обліку. Натомість методика аудиту підприємств, на яких використовуються КІСП та КСБО, котрі мають значний вплив на ведення бізнесу та бухгалтерського обліку, зазнає значних суттєвих змін, хоча загальна мета й обсяг аудиту не змінюються. Зберігаються його завдання, діють основні елементи його методології.

Водночас комп'ютерна обробка даних впливає на процес вивчення аудитором системи обліку і внутрішнього контролю підприємства, що перевіряється.

Автоматизація бухгалтерського обліку та інших управлінських функцій підприємства, з одного боку, і автоматизація аудиту, з іншого, докорінно змінюють проведення аудиту на конкретному економічному об'єкті. Стали розрізняти аудит поза комп'ютерним середовищем, тобто на об'єкті з традиційною технологією ручного ведення обліку, і аудит у комп'ютерному середовищі — на об'єкті, де бухгалтерський облік виконують з використанням комп'ютерів. Сам аудит можна також проводити без використання комп'ютерів або за їхньою допомогою.

У цих умовах суттєво змінюється організація і методика проведення аудиту, оскільки здійснення її за методиками, орієнтованими на традиційний облік, не дає бажаного результату.

В умовах функціонування автоматизованих інформаційних систем зазнають деяких змін основні принципи аудиту. Відповідно, застосування КІСП може вплинути:

  1.  на процедури, яких дотримується аудитор у процесі одержання достатнього уявлення про системи бухгалтерського обліку та внутрішнього контролю;
  2.  на аналіз властивого ризику та ризику системи контролю, за допомогою якого аудитор проводить оцінку ризику;
  3.  на розробку і здійснення аудитором тестів контролю та процедур перевірки за суттю, необхідних для досягнення мети аудиту.

Проведення аудиту в умовах використання комп'ютерних систем регламентується Міжнародним стандартом № 401 «Аудит

у середовищі комп'ютерних інформаційних систем». Є також положення про міжнародну аудиторську практику, присвячені питанням проведення аудиту в середовищі різних комп'ютерних інформаційних систем і водночас оцінці аудиторських ризиків, а також вимогам до спеціальних знань аудиторів про комп'ютерні інформаційні системи. Метою цих нормативів є встановлення стандартів і надання рекомендацій про процедури, яких необхідно дотримуватися при проведенні аудиту в умовах комп'ютерних інформаційних систем.

Під час планування стадій аудиторських процедур, на які може вплинути середовище КІСП суб'єкта, аудитор зобов'язаний розглянути, яким чином КІСП впливає на аудит, а також скласти собі уявлення про значимість і складність процесів функціонування КІСП, про доступність даних для використання в аудиті. Це уявлення охоплює такі аспекти.

Значимість. Належить до змісту тверджень, які містяться у фінансовій звітності і підлягають комп'ютерній обробці.

Складність комп'ютерної обробки в кожній значній прикладній бухгалтерській програмі. Прикладна програма вважається складною, якщо, зокрема:

  1.  обсяг операцій такий, що користувачам важко виявити і виправити помилки, допущені в процесі обробки;
  2.  комп'ютер автоматично генерує суттєві операції або проводки безпосередньо в іншій прикладній програмі;
  3.  комп'ютер виконує складні розрахунки за фінансовою інформацією і (або) автоматично генерує операції чи проводки, які не можна підтвердити або вони не підтверджуються окремо;
  4.  обмін операціями з іншими організаціями здійснюється електронним способом (як у системах електронного обміну інформацією), і при цьому не проводиться фізична перевірка на предмет правдивості або прийнятності.

Організаційна структура діяльності КІСП клієнта, а також ступінь концентрації або розподілу комп'ютерної обробки в рамках суб'єкта, зокрема те, як вони можуть впливати на розподіл обов'язків.

Доступність даних. Первинні документи, деякі комп'ютерні файли й інший доказовий матеріал, який може знадобитися аудитору, можуть існувати тільки протягом короткого періоду часу або у форматі, доступному для перегляду тільки на комп'ютері.

Застосування комп'ютерних систем контролю зумовлює необхідність одержання спеціальних знань для проведення оглядів контролю і спрощення процесу проведення аудиту.

Аудитору належить добре орієнтуватися в діючих автоматизованих системах обліку, контролю й аналізу, знати принципи розподілу функцій взаємного контролю серед працівників, котрі беруть участь у процесі обробки облікової інформації. Для проведення аудиту в комп'ютерному середовищі аудитор зобов'язаний:

  1.  мати додаткові знання в галузі систем обробки економічної інформації;
  2.  мати уявлення про технічний, програмний, математичний та інші види забезпечення КСБО;
  3.  володіти термінологією в галузі комп'ютеризації; чітко уявляти особливості технології і послідовність процедур комп'ютерної обробки облікової інформації;
  4.  знати організацію роботи бухгалтерії в умовах КІСП;
  5.  уміти працювати на комп'ютері з основними офісними програмами;
  6.  мати практичний досвід роботи з різними системами бухгалтерського обліку, аналізу, з правовими і довідковими системами, із спеціальними інформаційними системами аудиту.

Усі ці знання йому необхідні, щоб правильно визначити, який вплив на організацію, планування, проведення аудиту справляють умови використання КІСП на економічному об'єкті, що перевіряється.

Зважаючи на різноманітність і складність комп'ютерних технологій, від аудитора не вимагається бути першокласним спеціалістом з комп'ютерного бухгалтерського обліку. Тому, якщо в аудитора немає достатніх знань, він зобов'язаний запрошувати експерта в галузі інформаційних технологій.

Основні напрями взаємодії аудитора з експертом щодо систем комп'ютерної обробки даних такі:

  1.  оцінка законності придбання та ліцензійної чистоти бухгалтерського програмного забезпечення, що функціонує в системі комп'ютерної обробки даних;
  2.  оцінка надійності системи комп'ютерної обробки інформації в цілому;
  3.  перевірка правильності та надійності алгоритмів розрахунків;
  4.  формування на комп'ютері необхідних аудитору регістрів аналітичного обліку та звітності.

Але й у цьому разі аудитор зобов'язаний мати достатнє уявлення про комп'ютерну систему клієнта в цілому, щоб правильно планувати, регулювати і контролювати роботу експерта, зберігаючи чільне становище. Слід розуміти, що експерт оцінює систему обробки, а аудитор — вірогідність інформації, яка міститься в звітності, сформованій за допомогою цієї системи.

Під час проведення аудиту в умовах автоматизованої обробки облікової інформації аудиторам рекомендується включати до індивідуальних завдань питання з перевірки програми, правильності обробки інформації тощо. Дані цих перевірок мають знайти відображення у відповідних робочих документах.

2. Вивчення й оцінка КІСП

Проведення аудиту в умовах автоматизованих систем обліку залежить від таких факторів: рівень автоматизації бухгалтерського обліку, контролю й аудиту, наявність методик проведення автоматизованого аудиту, ступінь доступності облікових даних, складність обробки інформації.

У ході перевірки аудитор має вивчити і задокументувати всі найбільш важливі позиції, пов'язані з організацією обробки облікових даних у КІСП підприємства.

Впровадження комп'ютерів в обліковий процес суттєво вплинуло на проведення аудиту. При цьому велике значення мають власні характеристики системи обробки даних, тому що вони впливають на ступінь складності бухгалтерської системи, тип внутрішнього контролю, вибір виду перевірок, на основі яких можна визначити характер, тривалість та обсяги аудиторських процедур.

Перед початком аудиту слід уточнити ступінь автоматизації облікових, контрольних та аудиторських завдань і технологію їхнього вирішення. На основі отриманих даних складається план аудиторської перевірки.

Важливу роль у плануванні аудиторської перевірки відіграє рівень автоматизації облікових завдань. В оцінці труднощів автоматизованої обробки бухгалтерських даних необхідно враховувати як ступінь інтеграції інформаційних систем, так і ступінь спільного використання різними системами однієї і тієї самої облікової бази даних.

Особлива увага приділяється перевірці надійності засобів внутрішнього контролю в середовищі комп'ютерної обробки даних. Облікова політика, орієнтована на КСБО, має обов'язково передбачати елементи внутрішнього контролю.

В умовах функціонування автоматизованих систем обробки інформації здійснюють три види контролю:

  1.  структурний (виробничий) контроль;
  2.  контроль розробки;
  3.  процедурний (робочий) контроль.

Під структурним контролем розуміють загальну адміністративну перевірку структури розподілу обов'язків і відповідальності у відділі обробки інформації. Ці перевірки стосуються різною мірою всієї роботи, яку виконує відділ обробки інформації, і є частиною основного контролю, через який проходить кожна нова процедура.

Сутність контролю розробки полягає в загальній перевірці відповідності всіх нових проектованих комп'ютерних облікових систем встановленим стандартам документації і процедур, тобто перевірці відповідності виконання основних етапів проектування, програмування і дослідження систем вимогам загальної системи контролю. Контроль розробки в поєднанні зі структурним контролем охоплює всі нові запроектовані процедури.

Під процедурним {робочим) контролем слід розуміти контроль як поза, так і всередині відділу обробки інформації (зокрема — бухгалтерії). Його можна провести з кожної процедури за єдиними шаблонами, які можуть бути подібними для кількох процедур.

Оскільки можливість різних зловживань здебільшого створюється браком необхідного програмного контролю, а систему автоматизованого контролю має бути передбачено в проекті автоматизації обліку, то аудитор при будь-якому рівні автоматизації бухгалтерського обліку зобов'язаний перевіряти проектну документацію на створення такої підсистеми. Документацію перевіряють на наявність у проекті засобів автоматизованого контролю — як для забезпечення достовірності інформації, що обробляється на основних етапах облікового процесу, так і для виявлення різноманітних зловживань. Унаслідок такої перевірки може бути виявлено «слабкі» місця (з контрольних позицій) у програмі, які не перешкоджають здійсненню порушень, зловживань, наприклад, відсутність програмного контролю внутрішнього переміщення матеріальних цінностей та грошових коштів тощо.

Часто закладена в проектну документацію система контролю не відповідає фактичному його здійсненню в процесі обробки облікової інформації. Тому аудитору слід переконатися у відповідності проекту фактичному обліковому процесу, перевірити правильність обробки інформації. Технологічний процес має забезпечити автоматизацію контролю за правильністю обробки інформації та виправлення виявлених помилок. Виявлені в період обробки на окремих стадіях технологічного процесу помилки відображають у відповідних актах. За цими актами аудитор може відтворити і документально перевірити процес обробки інформації, з'ясувати, які помилки мають постійний характер, цим це зумовлено. Тому важливу роль відіграє організація зберігання цих документів на підприємствах.

Під час перевірки аудитору слід вивчити й оцінити систему документообігу економічного об'єкта, порядок формування, реєстрації, збереження, обробки документів і трансформації первинних документів у систему записів на бухгалтерських рахунках. Варто виявити місця виникнення первинної інформації і ступінь автоматизації її збору та реєстрації. При використанні спеціальних засобів автоматизації збору і реєстрації інформації (датчиків, лічильників, ваг, сканерів штрихових кодів тощо) аудитор має переконатися в тому, що фахівці регулярно проводять тестування цих пристроїв, а в разі виявлення відхилень належним чином оформляють результати і вживають відповідних заходів.

Перше уявлення про рівень автоматизації складання первинних документів аудитор може отримати і під час знайомства зі схемою розміщення АРМ на підприємстві. АРМ, розміщені в місцях виникнення первинної інформації (на складах, у цехах), дозволяють скласти первинний документ у момент здійснення операції, зафіксувати інформацію на машинному носії, передати документ у бухгалтерію для подальшої обробки. Відсутність АРМ у виробничих підрозділах підприємства вказує або на ручний спосіб складання документів з наступною передачею їх у бухгалтерію, або на те, що документи формуються в самій бухгалтерії, що характерно для підприємств з невеликим обсягом документів.

Аудитор зобов'язаний оцінити, наскільки модель документообігу, реалізована програмним забезпеченням КІСП, раціональна й ефективна для об'єкта, який перевіряють. Для великих підприємств має підтримуватися модель повного документообігу. При цьому важливо проаналізувати розподіл функцій між службами оперативного управління і бухгалтерією, інформаційні зв'язки різних підрозділів з бухгалтерією, простежити рух окремих документів і їхній взаємозв'язок, усвідомити, як підтримується система міждокументальних зв'язків, де зберігаються електронні копії документів, і як забезпечено до них доступ облікових працівників. Для підприємств, котрі автоматизують тільки бухгалтерський облік, в обраній програмній системі аудитору необхідно звернути увагу:

• на дотримання часового інтервалу між випискою документа, здійсненням операції і відображенням її в обліку;

  1.  можливість збереження документів у системі після їх роздрукування;
  2.  зв'язок документів і сформованих бухгалтерських проводок.

Аудитор зобов'язаний дати характеристику способів введення даних і формування записів про господарські операції. Автоматизована й автоматична генерація бухгалтерських записів і проводок на основі типових операцій та електронних форм документів дозволяє уникнути багатьох помилок, неминучих при ручному введенні і формуванні проводок. Слід вивчити організацію збереження інформації про господарські операції, можливість швидкого одержання інформації про господарські операції, документи та виведення її на друк.

У комп'ютерному обліку ряд операцій, таких як нарахування відсотків, закриття рахунків, визначення фінансового результату, може ініціюватися програмою, отже, по них немає будь-яких організаційно-розпорядницьких чи виправдувальних документів.

Обов'язок аудитора — ретельно перевірити правильність алгоритмів розрахунків. Помилка, закладена в алгоритм розрахунку і повторена багато разів у повторюваних господарських операціях, може спотворити результат господарської діяльності. У процесі перевірки алгоритмів розрахунку сум при введенні господарських операцій контролюється також правильність формування проводок. Особливо ретельно перевіряють алгоритми операцій, які ініціюються самою програмою, тому що до моменту їх виконання персонал зобов'язаний ввести, проконтролювати, відкоригувати всі дані, використовувані цією операцією.

Аудитору варто перевірити алгоритм на відповідність чинному законодавству й обліковій політиці підприємства і з'ясувати можливість виконання коригування алгоритму в разі зміни порядку ведення бухгалтерського обліку, податкового чи іншого законодавства. Тестування алгоритмів висуває високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів макромову конкретної програми. Це дозволить йому не лише провести тестування алгоритму на конкретних даних, а й розібратися в правильності його настроювання, наприклад під час використання типових операцій, доступ до зміни яких має непрофесійний користувач — бухгалтер.

Аудитор зобов'язаний також перевірити алгоритми розрахунку показників форм звітності й оцінити можливість їх коригування у разі змін у законодавстві. Необхідно перевірити відповідність використовуваних форм звітності чинному законодавству. Багато відомих фірм-розробників оперативно поширюють серед своїх користувачів нові форми бланків при їх зміні.

В обов'язки аудитора входить оцінка можливостей використовуваної клієнтом системи в частині створення й формування нових, не передбачених програмою, форм внутрішньої чи зовнішньої звітності: розгляд механізму роботи з результатною вихідною інформацією, можливостей її розшифровки і швидкого виявлення та виправлення помилок; проведення тестування результатів обробки, щоб виявити, наприклад, неправильно розраховане сальдо на рахунках; тестування перенесення облікових даних у звітність, особливо в тому разі, коли показники форми звітності в системі заповнюються «вручну» перенесенням із сформованих програмою стандартних звітів (облікових регістрів).

Приступаючи до проведення аудиторської перевірки, аудитор насамперед має ознайомитися з організаційною формою обробки даних і рівнем автоматизації управлінських завдань, у тому числі завдань бухгалтерського обліку. Підприємство, як правило, здійснює обробку даних самостійно. Лише в окремих випадках за договором залучається стороння організація.

Сучасні КСБО допускають децентралізоване використання комп'ютерів безпосередньо на робочих місцях облікового персоналу. Рівень же централізації обробки й збереження даних може бути різним і залежить від чисельності бухгалтерії, оснащеності її комп'ютерами, розподілу робіт між персоналом та від багатьох інших факторів. На малих підприємствах, де обробку даних виконує однин бухгалтер, програмне забезпечення КСБО й інформаційна база зосереджені на одному комп'ютері. Однак при більшій чисельності бухгалтерії мова йде вже про системи для багатьох користувачів, які реалізують роботу кількох користувачів з інформаційною базою обліку. Такі системи використовують одну з чотирьох технологій:

  1.  локальне функціонування робочих місць;
  2.  обробку інформації на основі технології «файл — сервер»;
  3.  обробку інформації на основі технології «клієнт — сервер»;
  4.  повністю централізовану обробку даних.

Кожна із цих технологій допускає свої форми використання комп'ютерів, форми організації та ведення інформаційної бази обліку й інтеграції облікових даних для складання звітності. Як правило, на середніх і великих підприємствах перевагу надають останнім трьом технологіям. При цьому на великих підприємствах усе більше застосовують технологію «клієнт — сервер».

Аудитор має розумітися на основних відмінностях цих технологій, тому що це впливає на зумовлені ним процедури перевірки і ризик проведеного аудиту. Аудитор зобов'язаний оцінити, наскільки обґрунтована й ефективна система, що використовується на конкретному економічному об'єкті. Однак аудитор не має права примушувати клієнта до застосування відомої йому системи. Він може допомогти клієнтові комп'ютеризувати бухгалтерський облік, рекомендувати ту чи іншу фірму і програму.

Положення про міжнародну аудиторську практику вирізняють особливості роботи з різними комп'ютерними системами під час проведення аудиту. Це положення 1001 «Середовище IT — автономні персональні комп'ютери», 1002 «Середовище IT — онлайнові комп'ютерні системи», 1003 «Середовище IT — системи баз даних».

Міжнародне положення 1001 «Середовище IT — автономні персональні комп'ютери» регламентує особливості проведення аудиту на підприємствах, які використовують окремі персональні комп'ютери. Особливість застосування персональних комп'ютерів та окремих АРМ полягає в тому, що для керівництва підприємства-клієнта може бути неможливим або недоцільним з погляду співвідношення витрат і результатів впровадження належних засобів контролю з метою зменшення ризику не виявлення помилок до мінімального рівня. Тому аудитор найчастіше вправі припустити, що в таких системах ризик системи контролю високий.

У цілому, КСБО, в якій використовуються лише окремі персональні комп'ютери, менш складні, ніж мережеві КСБО. У першому разі прикладні програми можуть легко розробити користувачі, котрі володіють основними навичками обробки даних. У таких випадках контроль за процесом системної розробки (наприклад, адекватна документація) та операціями (наприклад, доступ до контрольних процедур), суттєвими для ефективного контролю у великому комп'ютерному середовищі, розробник, користувач або керівник не можуть розглядати як настільки ж важливий або ефективний з погляду співвідношення витрат і результатів. Проте, оскільки дані було оброблено на комп'ютері, користувачі такої інформації можуть без відповідних на те підстав надмірно покладатися на облікову інформацію. Оскільки персональні комп'ютери орієнтовані на індивідуальних кінцевих користувачів, точність і вірогідність підготовленої фінансової інформації буде залежати від засобів внутрішнього контролю, встановлених керівництвом і прийнятих користувачем. Напри-

клад, якщо комп'ютером користуються декілька людей без належного контролю, то програми і дані одного користувача, які зберігаються на вбудованому носії інформації, можуть стати предметом недозволеного користування, зміни або шахрайства з боку інших користувачів.

У міжнародному положенні 1002 «Середовище IT — онлайнові комп'ютерні системи» регламентуються особливості проведення аудиту на підприємствах, які використовують КІСП з модулями оперативного обліку господарських операцій у реальному режимі часу. Це актуально для таких сфер бізнесу, як банки, мобільний телефонний зв'язок, електронна комерція тощо.

Особливістю таких систем є розвинуті заходи контролю (controls) під час здійснення господарських операцій. При введенні даних в інтерактивному режимі вони звичайно підлягають негайній перевірці. Непідтверджених даних не буде прийнято, і на екрані терміналу висвітиться повідомлення, що дає можливість користувачу виправити дані й відразу ж ввести їх повторно. Наприклад, якщо користувач вводить неправильний порядковий номер ТМЦ, буде виведено повідомлення про помилку, що дасть користувачу можливість ввести правильний номер.

Аудиторські процедури, виконувані одночасно з інтерактивною обробкою, можуть включати перевірку відповідності засобів контролю за інтерактивними прикладними програмами. Наприклад, це може бути зроблено за допомогою введення тестових операцій через пристрій терміналу або за допомогою аудиторського програмного забезпечення. Аудитор може використовувати такі тести для того, щоб підтвердити своє розуміння системи або для перевірки засобів контролю, таких як паролі та інші засоби контролю доступу.

Є певні особливості систем, що працюють у реальному масштабі часу, які породжують труднощі як для споживача, так і для аудитора.

В американських публікаціях зазначається, що із системами, які працюють у реальному масштабі часу, пов'язані чотири моменти, які створюють додаткові труднощі для контролю:

  1.  введені дані звичайно не згруповані, тому комп'ютерна система сприймає невпорядковані дані різних видів, що вводяться;
  2.  на комп'ютері здійснюється тільки швидка перевірка документів. Наприклад, засоби виробничого контролю системи, котра працює в реальному масштабі часу, може бути перенесено без посередньо  в периферійний пристрій без усякої документації.

системи внутрішнього контролю залежить великою мірою від характеру завдань адміністрування бази даних, і від того, як вони виконуються.

Подібно до цього робочі програми, команди може бути подано у формі візуального зображення без роздрукування результатів і стандартної форми;

  1.  системи, котрі працюють у реальному масштабі часу, збільшують і ускладнюють взаємозв'язок секцій системи;
  2.  висока продуктивність систем, які працюють у реальному масштабі часу, значно збільшує швидкість обробки інформації, що ускладнює процес контролю.

Особливості інтерактивних комп'ютерних систем зумовлюють велику ефективність проведення аудитором аналізу нових інтерактивних бухгалтерських прикладних програм до, а не після початку експлуатації. Такий попередній аналіз дасть аудитору можливість перевірити додаткові функції, наприклад, детальні списки операцій або функції контролю в межах самої програми. Це також може дати аудитору достатньо часу для того, щоб розробити і випробувати аудиторські процедури до їх проведення.

Міжнародне положення 1003 «Середовище IT — системи баз даних» зазначає особливості функціонування комплексних КІСП, що ґрунтуються на єдиній базі (сховищі) даних (data warehouse, а також data repository), дані з якої використовуються різними службами підприємства.

Системи баз даних складаються переважно з двох основних компонентів — з бази даних і системи управління базою даних (СУБД). Бази даних взаємодіють з іншими технічними і програмними засобами всієї комп'ютерної системи.

База даних є сукупністю даних, що використовується багатьма користувачами для різних завдань. Кожен користувач може не знати всіх даних, які зберігаються в базі даних, і способів використання даних для різних завдань. Загалом, індивідуальні користувачі знають тільки про дані, якими вони користуються, і можуть розглядати дані як комп'ютерні файли, що використовуються в прикладних програмах.

Системи баз даних відрізняються двома важливими характеристиками: спільним користуванням даними і незалежністю даних. Оскільки інфраструктура безпеки підприємства відіграє важливу роль у забезпеченні цілісності виробленої інформації, аудитору необхідно розглянути цю інфраструктуру перед перевіркою контрольних засобів. У цілому, внутрішній контроль у середовищі баз даних потребує ефективної системи контролю за базою даних, СУБД і прикладними програмами. Ефективність системи внутрішнього контролю залежить великою мірою від характеру завдань адміністрування бази даних, і від того, як вони виконуються.

4.3.Аудиторський ризик при використанні КІСП

Згідно з вимогами Міжнародного стандарту 400 "Оцінка ризиків та внутрішній контроль", аудитор повинен оцінити властивий (притаманний) ризик і ризик невідповідності внутрішньої системи контролю й управління.

Особливості оцінки ризиків при застосуванні КІСП і КСБО також наведено у Міжнародному стандарті 401 «Аудит у середовищі комп'ютерних інформаційних систем» та Міжнародному положенні про аудиторську практику 1008 «Оцінювання ризиків та внутрішній контроль: характеристики та особливості в КІС». Характер ризику і характеристики внутрішнього контролю в середовищі КІСП такі.

Відсутність слідів операцій — неясність шляху перетворення від вхідної інформації з первинних облікових документів до підсумкових показників. Деякі КІСП спроектовані таким чином, що повний обсяг інформації про операцію, що використовується з метою аудиту, може існувати тільки протягом короткого періоду часу або тільки у форматі, що прочитується на комп'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто існує можливість прочитання інформації тільки на електронних носіях, оскільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити існування повного набору дій. Саме тому помилки, які існують у самому алгоритмі програми, дуже складно виявити без використання спеціальних програм.

Єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються ті самі інструкції. Таким чином, фактично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програмування (та інші систематичні помилки в технічних засобах або програмному забезпеченні) призводять до неправильної обробки всіх операцій. Зменшення участі людини в процесах обробки інформації призводить до того, що помилки і недоліки, які трапляються в проекті, через зміни прикладних

програм або системного програмного забезпечення можуть залишатися невиявленими ними тривалий час.

Відсутність поділу функцій. Багато процедур контролю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІСП. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може виконувати несумісні функції. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського обліку вручну вони були б звичайно розподілені між декількома співробітниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе. Потенціал помилок і недоліків, властивих КІСП, значно вищий, ніж при веденні бухгалтерського обліку шляхом ручної обробки.

Можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслуговуванні й експлуатації КІС може бути більша, ніж у системах ручної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІСП, ніж у системах ручної обробки даних.

Нижчий ступінь участі людей у процесі здійснення операцій може знизити ймовірність виявлення помилок і порушень. Помилки чи порушення, що трапляються в розробці або модифікації прикладних програм чи системного програмного забезпечення, можуть залишатися невиявленими протягом тривалого часу. Властивий (притаманний) ризик і ризик внутрішнього контролю в середовищі КІСП мають окремі особливі властивості: ризик може виникнути через неточності при розробці програми, супроводженні і підтримці програмного забезпечення системи, операцій, безпеки системи і контролю доступу до спеціальних програм управління. Ризик може зростати через помилки або шахрайство як у програмних модулях, так і в базах даних. Наприклад, треба вжити необхідних заходів, які попереджають виникнення помилок у системах, у яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко. Слід розуміти, що деякі системи більше зазнають впливу помилок внаслідок неправильних дій оператора, а інші — внаслідок навмисного перекручення інформації, яка вводиться, залежно від вказівок вмонтованого контролю програмного комплексу.

Ініціювання або здійснення операцій. Комп'ютерні інформаційні системи можуть мати здатність автоматично ініціювати або здійснювати визначені види операцій. Дозвіл на виконання таких операцій або процедур не обов'язково документально оформляється таким же чином, як і при ручній обробці,

Можливості вдосконалення управлінського контролю. КІСП може надати керівництву безліч аналітичних засобів, які можна застосовувати в аналізі операцій і контролі за діяльністю суб'єкта. Наявність таких додаткових засобів контролю, у разі їх використання, допомагає покращити структуру внутрішнього контролю в цілому.

Приклади причин помилок в обліковій інформації при застосуванні КІСП наведено в табл. 4.1.                                                                           

                                                                                Таблиця 4.1.

Приклади появи можливих помилок в обліковій інформації при застосуванні КІСП

пор.

Найменування

Приклади

1

Зниження ступеня залучення персоналу

Якщо обліковий персонал чи аудитор не мають можливості безпосереднього візуального спостереження за первинною інформацією, що вводиться (або можуть тільки перевірити результати обробки даних у вигляді зведення), це підвищує імовірність пропуску помилок і неточностей

2

Однаковість обробки інформації

У спрощених і навіть у складних КСБО іноді (наприклад, при неправильному складанні бухгалтером чи програмістом визначеного алгоритму часто повторюваних розрахунків — скажімо, за ПДВ) підвищується ймовірність системних помилок і неточностей. Причому, якщо кожна з них несуттєва окремо, їхній сукупний накопичений за рік ефект може значно спотворити звітність у цілому

3

Несанкціонований доступ

Можливі витікання або несанкціонована зміна інформації (у тому числі й конфіденційної), внесення небажаних змін у саму систему, а також матеріальні втрати (розкрадання коштів, товарно-матеріальних цінностей та інших активів) у результаті шахрайства з використанням комп'ютерів

4

Втрата даних

Подання обліково-аналітичної інформації у формі великої бази даних обтяжено потенційним ризиком перекручування чи навіть втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необхідності її термінового відновлення в значних масштабах і як наслідок — суттєві за часом перерви в обробці поточної облікової інформації

Отже, використання клієнтом комп'ютерних систем обробки даних вносить додаткові аудиторські ризики. Ці ризики пов'язані з такими чинниками:

  1.  технічні аспекти;
  2.  програмна система обробки інформації;
  3.  організація обліку і контролю при використанні КІСП;
  4.  кваліфікація самого аудитора.

Технічні аспекти стосуються ризиків, викликаних поганою роботою апаратних засобів, використанням нелегального програмного забезпечення, невідповідністю характеристик апаратного і програмного забезпечення, відсутністю належного технічного обслуговування і контролю. Ризик аудиту підвищується, якщо комп'ютерна система децентралізована, комп'ютерні пристрої географічно рознесені.

Відомо, що законний власник програмного забезпечення бухгалтерського обліку має право одержувати допомогу і підтримку в розробника програмного продукту. Оскільки фірми-розробники ретельно відслідковують усі зміни в законодавстві і нормативних актах, то вони вчасно вносять виправлення у свої програми і часто безплатно чи за незначну доплату надають їх своїм користувачам. Ця допомога і підтримка сприяють підвищенню надійності роботи з такою програмою, знижують аудиторський ризик. Використання ж незаконно придбаної програми підвищує аудиторський ризик, оскільки такі програми часто є застарілими версіями, у них вчасно не коригуються алгоритми розрахунків, форми звітності й документів, користувач не має супровідної документації і не може цілком правильно використовувати можливості програми. Саме тому аудитору слід оцінити законність придбання і ліцензійну чистоту бухгалтерського і системного програмного забезпечення, що використовується на

підприємстві, яке перевіряється. Крім того, одним із завдань аудиту є дотримання клієнтом діючого законодавства, в тому числі й виконання вимог щодо охорони авторських прав на програмні продукти.

Ризики, пов'язані з програмною системою обробки даних, можуть бути викликані помилками при розробці системи, її малою тиражністю, використанням не за призначенням. Програми широко розповсюджені, застосовувані на сотнях підприємств і в різних умовах, як правило, не мають помилок, тому що їх було виявлено в процесі впровадження на багатьох об'єктах і усунуто. Аудиторський ризик у цьому разі знижується. І навпаки, в системі, створеній в одиничному екземплярі програмістом, який не має економічної підготовки, скоріш за все, є багато помилок. Природно, вона підвищує ризик при аудиторській перевірці. Не виключаються випадки застосування програм, явно не призначених для бухгалтерського обліку, для обробки саме даних обліку. Обов'язок аудитора з'ясувати, чи використовується система клієнта за призначенням.

Ризики, пов'язані з організацією обліку і контролю при використанні КІСП, викликані недостатньою підготовкою персоналу клієнта до роботи із системою обробки облікових даних, відсутністю чіткого розмежування обов'язків і відповідальності персоналу клієнта, незадовільною організацією системи внутрішнього контролю, слабкою системою захисту від несанкціонованого доступу до бази даних або її відсутністю, втратою даних.

Ризики, пов'язані з кваліфікацією аудитора, можливі в зв'язку з неправильною оцінкою системи обробки облікових даних, некоректністю побудови тестів, помилковим тлумаченням результатів.

У сучасних умовах погано навчений персонал є найбільш уразливою ланкою системи обробки даних. Аудитор повинен оцінити кваліфікацію облікового персоналу у сфері комп'ютерної підготовки, інформаційних технологій і конкретної облікової системи. Йому необхідно звернути увагу і на ставлення персоналу до системи, ступінь довіри до неї. Бухгалтер, який вважає, що він швидше виконає роботу без використання програми, вочевидь погано ознайомлений із її можливостями і, можливо, робить багато помилок при обробці даних на комп'ютері.

4.4.Методика тестування КІСП аудитором

Найбільш точним методом оцінки засобів контролю, вбудованих у програмне забезпечення бухгалтерського обліку, є безпосереднє вивчення аудитором програмних алгоритмів. Проте це завжди потребує тривалого часу та зусиль, а іноді й зовсім неможливе через, наприклад, брак і в аудитора, і в експерта знань особливостей мови програмування конкретної програмно-апаратної системи.

У цьому разі аудитори використовують різноманітні засоби тестування програмного забезпечення. Окремі методи наводяться у Міжнародному положенні про аудиторську практику 1009 «Комп'ютеризовані методи аудиту». У ньому зазначається, що методи тестових даних використовуються під час аудиторської перевірки шляхом введення даних (наприклад, вибірка господарських операцій) у комп'ютерну систему суб'єкта і порівняння отриманих результатів із заздалегідь визначеними. Аудитор може використовувати тестові дані з такою метою:

  1.  тестування конкретних засобів контролю в комп'ютерних програмах, таких як інтерактивний пароль і контроль за доступом до даних;
  2.  тестування господарських операцій, відібраних із раніше оброблених операцій, або сформульованих аудитором для перевірки окремих характеристик процесу обробки, який здійснюється комп'ютерною системою суб'єкта;
  3.  тестування господарських операцій, які використовуються в інтегрованих тестових підсистемах, де використовується фіктивний модуль (наприклад, відділ або службова особа), через який вони проходять у ході звичайного циклу обробки.

У практиці аудиту використовують такі підходи до тестування КІСП.

1. Перевірка шляхом імітації облікових даних. За допомогою програмних засобів, що функціонують на підприємстві, аудитор здійснює рівномірний прорахунок і створює імітаційну базу даних. Шляхом зіставлення даних перевіряється правильність проведених розрахунків і одержаних результатів.

Тестові дані — це дані, спеціально підготовлені аудитором. Звичайно це певні уявні господарські операції, частина з яких є некоректними. При цьому аудитор знає, який саме результат має видати програма. Є декілька підходів до тестування програмного забезпечення. У найпростішому послідовність робіт аудитора з тестовими даними відбувається таким чином (рис. 4.1.) .

Рис. 4.1. Загальний підхід до тестування програмного забезпечення 

Комплексний підхід до тестування (Integrated test facility approach ITF) включає як використання тестових операцій, так і створення певних уявних об'єктів аналітичного обліку (дебіторів, кредиторів, працівників, матеріальних цінностей тощо). При цьому звичайно в програму вводять набір даних, що містить як реальні, так і уявні записи. Послідовність такого тестування наведено на рис. 4.2.

Аудитор може застосовувати спеціально розроблені ним конкретні приклади тестування алгоритмів комп'ютерної обробки даних. Наприклад, для перевірки правильності нарахування прибуткового податку аудитор може ввести в комп'ютер клієнта значення певної суми заробітної плати й переконатися в правильності отриманого результату.

2. Перевірка за допомогою спеціальних аудиторських програм, підготовлених аудиторською фірмою. Ця перевірка здійснюється

Рис. 4.2.. Послідовність здійснення комплексного підходу до тестування КСБО

шляхом моделювання з програмною перевіркою всіх можливих параметрів облікового процесу. На їхній основі аудитор здійснює імітаційну обробку даних зі структурою, аналогічною структурі реального програмного забезпечення. Отримані вихідні дані порівнюються з реальними даними, за результатами порівняння виявляються відхилення, що фіксуються в протоколі перевірки, де, крім самих відхилень, на основі бази знань фіксуються методологічні чи законодавчі акти, які було при цьому порушено.

За допомогою спеціальних програмних засобів здійснюється перевірка, моделювання й аналіз облікових даних з метою визначення їхньої повноти, якості, правомірності й вірогідності. Для цього виконуються порівняння змодельованих облікових даних із реальними даними інформаційної системи, а також здійснюється тестування розрахунків і перерахунків, підсумовування, повторне впорядкування та формування звітних даних і їх порівняння із реальними даними. Крім цього, здійснюється контроль правильності відновлення даних.

Ця методика тестування передбачає використання тільки реальних даних клієнта, що обробляються одночасно в КСБО клієнта і в програмному забезпеченні, яке використовує аудитор. Вона називається паралельним виконанням обчислень (parallel simulation) (рис. 4.3) .

Рис. 4.3. Паралельна обробка облікових даних

3. Для підприємств, із якими аудиторська фірма має довгострокові договірні відносини, розробляються спеціальні аудиторські модулі, що вбудовуються в наявні програмні засоби обліку, контролю й аудиту. У програмне забезпечення включаються додаткові програмні модулі, що дозволяють контролювати необхідні параметри облікового процесу. За допомогою цих модулів виконується відбір операцій, що становлять інтерес із погляду постійної аудиторської перевірки. Обрані операції зберігаються для подальшого їх вивчення аудитором. Відібрані при цьому дані групуються за операціями у спеціальній аудиторській базі даних для подальшої обробки (рис. 4.4.) . Програмні засоби застосовують такі види контролю даних:

  1.  систематичний контроль, коли облікові дані тестуються за всіма основними критеріями (діапазон, зіставлення з нормативно-довідковою інформацією і т. ін.);
  2.  вибірковий контроль, здійснений на деякій вибірці даних (за визначеними операціями, за окремими завданнями тощо).

У всіх випадках аудиторські процедури слід проводити не з оригінальними файлами суб'єкта перевірки, а з копіями цих файлів, оскільки будь-які їх зміни, що здійснюються аудитором,

Рис. 4.4. Збирання аудиторської інформації за допомогою вбудованого контрольного модуля

та можливе пошкодження не повинні впливати на дані системи комп'ютерної обробки даних. У тому разі, коли контрольні дані обробляються в рамках звичайного процесу обробки інформації суб'єкта, аудитор має пересвідчитися в тому, що контрольні господарські операції вилучені з облікових записів підприємства.

                

              Питання для контролю

  1.  Що таке первинні документи? Як вони класифікуються?
  2.  Які типи реквізитів мають первинні документи?
  3.  Що таке електронний первинний документ?
  4.  Яка послідовність ведення комп'ютеризованого первинного обліку?
  5.  Які основні відмінності комп'ютерної технології первинного документування?
  6.  Які чотири основні моделі інтерпретації первинних документів застосовуються в сучасних комп'ютерних програмах бухгалтерського обліку? Охарактеризуйте їх.
  7.  Які особливості проведення інвентаризації при використанні обчислювальної техніки?
  8.  Які можливості в обліку матеріальних цінностей надає використання штрихових кодів?
  9.  Яким чином здійснюється оцінка в комп'ютерних програмах бухгалтерського обліку?
  10.  Як удосконалюється процес калькулювання в комп'ютерній бухгалтерії?
  11.  Для чого, на вашу думку, може бути використано можливість ведення бухгалтерського обліку в кількох планах рахунків, що надають сучасні комп'ютерні програми?
  12.  Які особливості ведення аналітичного обліку в комп'ютерних програмах?
  13.  Яким чином втілюється принцип подвійного запису в комп'ютерних програмах?
  14.  Які розширені можливості щодо подвійного запису дають комп'ютерні програми?
  15.  Як саме будується бухгалтерська звітність у комп'ютерних програмах?
  16.  Дайте характеристику різних типів звітів у комп'ютерних програмах бухгалтерського обліку.
  17.  Чим відрізняється електронний документообіг від паперового?
  18.  Які види документообігу автоматизують комп'ютерні програми?
  19.  Назвіть основні принципи організації документообігу.
  20.  Які є типи маршрутів руху електронних документів?
  21.  Як здійснюються реєстрація та зберігання електронних документів?
  22.  Що таке форма бухгалтерського обліку? Чим вона характеризується?
  23.  Яке призначення облікових регістрів у різних формах обліку?
  24.  З яких складових частин складається обліковий регістр при застосуванні комп'ютерів?
  25.  Які тенденції спостерігаються в процесі розвитку форм бухгалтерського обліку?
  26.  Які фактори найбільше впливають на розвиток форм бухгалтерського обліку?
  27.  Опишіть різні форми бухгалтерського обліку із застосуванням обчислювальної техніки.
  28.  Які особливості обробки облікової інформації в комп'ютерно-комунікаційній формі бухгалтерського обліку?
  29.  На які аспекти аудиту впливає використання на підприємстві комп'ютерних інформаційних систем?
  30.  Яким вимогам до рівня освіти має відповідати аудитор для роботи в середовищі КІСП?
  31.  Які види контролю здійснюються в умовах функціонування автоматизованих систем обробки інформації?
  32.  Яка послідовність перевірки аудитором особливостей функціонування КІСП?
  33.  Чим відрізняється аудиторська перевірка в різних середовищах обробки даних, а саме при використанні автономних мікрокомп'ютерів, інтерактивних комп'ютерних систем та систем баз даних ?
  34.  Що включають ризики і характеристики внутрішнього контролю в середовищі КІСП?
  35.  Які методики використовуються при тестуванні аудитором комп'ютерних облікових систем?

Тема 5. НАЛАГОДЖЕННЯ КОМП'ЮТЕРИЗОВА-НИХ ПРОЦЕДУР АУДИТУ ТА ВНУТРІШНЬОГО КОНТРОЛЮ

5.1.Поняття про комп'ютерний контроль та аудит

5.2.Організаційні заходи контролю КІСП

5.3.Контроль за виконанням   облікових записів у КСБО.

             5.4.Програмне забезпечення аудиторської діяльності

1.Поняття про комп'ютерний контроль та аудит

Застосування комп'ютерів значно впливає на проведення контролю та аудиторських процедур. Однак слід мати на увазі, що контрольні функції автоматизуються найважче. Сама по собі комп'ютеризація обліку

не може усунути приховування крадіжок і зловживань через неправильне перенесення на електронні носії реквізитів, зазначених у документах, введення фальсифікованих документів тощо. Комп'ютер завжди однаково оцінює ситуацію і процес, тому ймовірність помилок контролю в умовах застосування комп'ютерів значно нижча. Отже, комп'ютерна програма забезпечує лише неупередженість і точність контролю.

На відміну від ручних облікових систем, у яких записи роблять на папері і аудитор розглядає можливість знищення, підробки, заміни паперових документів, в умовах використання КІСП аудитору доводиться мати справу з питаннями безпеки та надійності комп'ютерних облікових систем. Таким чином, аудитор перевіряє низку суто технічних питань, які не мають прямого відношення до бухгалтерського обліку, але безпосередньо впливають на оцінку аудитором ризику системи контролю. Зокрема, подібні заходи передбачає Національний норматив № 31 «Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю».

Отже, в умовах застосування КІСП відбувається взаємне проникнення різних за своїм змістом та суб'єктами видів контрольної й організаційної діяльності (рис. 5.1.).

Виник навіть спеціальний термін — комп'ютерний аудит. Під комп'ютерним аудитом мають на увазі оцінку поточного стану комп'ютерної системи на відповідність деякому стандарту чи запропонованим вимогам [31]. Цей термін використовують спеціалісти із загальної безпеки комп'ютерних інформаційних систем.

Здебільшого комп'ютерний аудит потрібний, коли автоматизована система призначена для обробки конфіденційної чи секретної інформації. Саме до таких належать комп'ютерні системи бухгалтерського обліку. Для кожної категорії інформації на підприємстві внутрішніми стандартами визначають нижню межу

Рис. 5.1. Складові аудиту в умовах застосування КІСП

рівня безпеки автоматизованої системи. Проведення комп'ютерного аудиту корисно також після побудови автоматизованої системи та підсистеми її безпеки на етапі приймання в експлуатацію для оцінки ступеня дотримання висунутих до неї вимог.

Основні параметри, за якими має здійснюватися перевірка КІСП щодо захисту та безпеки даних, наведено в табл. 5.1.

Положення про міжнародну аудиторську практику 1008 «Оцінка ризиків та система внутрішнього контролю — характеристика КІС та пов'язані з ними питання», передбачає, зокрема, те, що в КІСП наявна вразливість засобів зберігання даних і програм: великі обсяги даних і комп'ютерні програми, котрі використовують для обробки інформації, можуть зберігатися на портативних або вбудованих носіях інформації, на таких як магнітні диски і плівка. Саме ці носії інформації можуть украсти, загубити, навмисно або випадково знищити.

Комп'ютерні системи більш відкриті для доступу до даних, тому в них мають чітко розмежовуватися повноваження і права доступу до інформації, а також має бути введено систему захисту від несанкціонованого доступу.

Таблиця 5.1. Параметри надійності програмних систем для ведення бухгалтерського обліку

Параметри

Характеристики

Обмеження

доступу

Обмеження доступу за допомогою системи паролів для читання, запису та знищення інформації, автоматичне ведення протоколів роботи

Контроль за діями облікового персоналу

Перевірка правильності використання Плану рахунків, вчасності і правильності ведення облікових регістрів, відповідності даних синтетичного й аналітичного обліку даним бухгалтерського балансу та іншим формам звітності

Архівація накопиченої інформації

Можливість зберігати страхові копії певний час, який залежить від швидкості оновлення даних у системі

Наявність робочої документації

У підрозділі документації до програмної системи «Аварійні ситуації» мають бути приклади аварійних ситуацій і способи відновлення працездатності системи з мінімальними витратами праці та часу

Відповідно до Національного нормативу № 31 «Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю» під час оцінки ризику в системах, у яких використовується електронна обробка даних (ЕОД), аудиторам необхідно звертати увагу на методи управління, за яких передбачається обмеження доступу до бази даних, наприклад, захист бази даних від несанкціонованого втручання.

Аудитор зобов'язаний виявити слабкі місця контролю КІСП — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи, наприклад перевірку цілісності даних і відсутність комп'ютерних вірусів.

Найактуальнішим питанням, яке постає з відмовою від паперових бухгалтерських документів при застосуванні КІСП, є розробка способів юридичного підтвердження достовірності даних, що реєструються.

Розв'язання цього питання можливе при розробці комп'ютерних облікових програм шляхом:

  1.  проектування спеціальних засобів блокування введення даних у разі пропуску будь-яких реквізитів;
  2.  наявності в програмі засобів ідентифікації особи, котра працює з терміналом;
  3.  спеціальних засобів захисту інформації.

Так, у системі комп'ютеризації документообігу Work Expeditor у процесі руху документа формують журнал, у якому фіксуються час, дії та імена користувачів, котрі працювали з документом [5, с. 331]. Додаткові спеціальні засоби захисту інформації дозволять вносити зміни або виправлення тільки тій особі, яка їх вперше зареєструвала на електронному носії.

Аудитору також необхідно проаналізувати систему контролю підготовки бухгалтерських даних, перевірити, які заходи вжито клієнтом для запобігання помилкам і фальсифікаціям. Слід зазначити способи організації контролю повноти та правильності введення первинної інформації в інформаційну базу, контролю обробки і висновку даних, дати оцінку їхньої достатності й ефективності. У мережевих системах з багатьма користувачами об'єктом уваги має бути контроль передачі даних.

Основні поняття стосовно надійності програмних інформаційних систем [9] уперше було визначено в опублікованій у 1983 р. «Оранжевій книзі» Міністерства оборони США. Безпечна інформаційна система визначається в ній як «система, яка керує за допомогою відповідних засобів доступом до інформації так, що тільки належним чином авторизовані особи одержують право читати, записувати, створювати та знищувати інформацію».

У Законі України «Про захист інформації в автоматизованих системах» сказано, що захист інформації — це, передусім, комплекс організаційно-технічних заходів, спрямованих на запобігання втрат інформації внаслідок як ненавмисних або навмисних дій, так і несанкціонованого її зняття, а також на запобігання шахрайству з метою розкрадання майнових та грошових цінностей суб'єктів господарської діяльності.

На жаль, у Законі немає переліку конкретних заходів, тому їх розробка лягає як на розробників, так і на користувачів комп'ютерних систем.

Захищеною інформаційною системою можна вважати інформаційну систему, яка відповідає певним вимогам і в якій реалізовано комплекс заходів захисту. Універсальний перелік вимог до захищених систем складати недоцільно через різноманітність самих систем і різноманітність імовірних загроз. Проте є кілька базових вимог, без задоволення яких систему не можна вважати захищеною.

Отже, безпечною є інформаційна система, яка задовольняє такі вимоги:

• цілісність інформації (information integrity). Відповідає стану системи, коли інформація є вчасною, точною, повною і змістовною. Повністю забезпечити її майже неможливо, тому часто її розбивають на цілісність інформації та цілісність системи. Цілісність інформації — це вимога, щоб інформацію змінювали тільки в установленому порядку. Цілісність системи — це вимога, щоб система виконувала функції, яких від неї вимагають, зазначеним способом і без навмисного або незумисного неавторизо-ваного втручання;

  1.  доступність системи (system availability) — це вимога, щоб система працювала коректно і не відмовляла в доступі легальному користувачеві;
  2.  конфіденційність системи (system privacy) — це вимога, щоб до приватної або конфіденційної інформації, яка міститься в системі, не мали доступу нелегальні (неуповноважені) користувачі.

Ефективний контроль, конфіденційність або захист важливих програм та даних від недозволеного доступу і модифікації з боку користувачів може забезпечити криптографія. Найчастіше її використовують тоді, коли важливі дані передаються по комунікаційних лініях. Криптографія — це зворотний (тобто такий, який має обернений) процес перетворення програм та даних у форму, непридатну для обробки. Шифрування і розшифрування даних потребує використання спеціальних програм і шифрувального ключа, відомого тільки користувачам, яким дозволено доступ до програм та інформації.

Інколи до трьох основних вимог додають ще забезпечення відповідальності (non-repudiation). Ця вимога полягає в тому, що користувач не може відмовитися від авторства посланого ним повідомлення або виконаної дії.

Важливість наведених вимог не однакова для різних інформаційних систем. Якщо для інформаційних систем режимних державних організацій на першому місці стоїть конфіденційність, а цілісність розуміють винятково як незмінність інформації, то для комерційних структур важливіше за все цілісність (актуальність) і доступність даних та послуг з їх обробки. Порівняно з державними комерційні організації більш відкриті і більш динамічні, тому ймовірні загрози для них відрізняються і кількісно, і якісно.

Для забезпечення названих вимог до безпечної інформаційної системи використовують такі засоби захисту.

Підзвітність (протоколювання). Мета підзвітності — у кожний момент часу знати, хто працює в системі і що він робить. У безпечній системі обов'язково мають фіксуватися всі події, що стосуються безпеки. До таких подій відносять: вхід у систему (успішний або ні); вихід із системи; звернення до віддаленої системи; операції з файлами (відкриття, закриття, перейменування, знищення); зміну привілеїв або інших атрибутів безпеки (режим доступу, рівень надійності користувача тощо). Ведення протоколів обов'язково доповнюють аналізом реєстраційної інформації.

До ключових засобів підзвітності належать ідентифікація і аутентифікація.

Ідентифікація дозволяє впізнати користувача системи (і визначити, чи користувався він системою раніше). Ідентифікація — це засоби, за допомогою яких користувач надає системі інформацію про себе.

Аутентифікація — це процес достовірної перевірки відповідності когось чи чогось. Вона підтверджує, ким є користувач, а також його права в системі. Іншими словами, аутентифікація — це підтвердження правильності ідентифікації. Можливі два види віддаленої аутентифікації: коли комп'ютер аутентифікує інший комп'ютер; коли комп'ютер виконує якісь операції для користувача, якщо той передасть пароль.

Порушення в роботі комп'ютерної системи можуть виникати через проблеми з живленням і помилки апаратного чи програмного забезпечення. Помилка в апаратній частині може полягати у виході з ладу електронної чи механічної частини. Щоб уникнути цієї небезпеки, потрібно дублювати критичні вузли системи. Ще одним засобом проти подібних загроз є резервне копіювання даних. Як правило, в організаціях через відносно короткі проміжки часу роблять копії масивів даних і забезпечують їх надійне збереження. Такий захист доречний і в разі пожеж та затоплень. Тому копії й оригінали слід зберігати в різних місцях. Програмні помилки також становлять небезпеку для роботи системи, програма може бути несумісна з операційною системою. Крім того, програма може бути інфікована вірусами.

5.2.Організаційні заходи контролю КІСП

Сутність проблеми захисту та безпеки даних у КІСП полягає в забезпеченні всього комплексу організаційно-технічних, організаційно-режимних заходів та кадрової роботи, що спрямована на збереження комерційної таємниці і належного контролю роботи працівників підприємства (рис. 5.2.).

Рис. 5.2. Порядок забезпечення безпеки інформації в бухгалтерії

Отже, як видно із схеми, специфіка використання обчислювальної техніки передбачає особливі методи забезпечення захисту інформації в КІСП .

Якщо до впровадження КІСП уся інформація про роботу підприємства була «розкидана» по окремих документах, папках тощо, то з початком комп'ютерної інформаційної системи вся інформація концентрується в одному місці — у базі даних сервера (тобто на твердому диску якогось комп'ютера). Оскільки це місце відоме всім працівникам, інформація стає доступною не-визначеному колу осіб. Тому слід за допомогою особливих внутрішніх положень (наказів, інструкцій) обмежити доступ сторонніх осіб до інформації, яка є комерційною таємницею підприємства, а також встановити або передбачити механізм перевірки звітної інформації, що виходить за межі підприємства. Наприклад, в інформації з фінансової звітності, що оприлюднюється, не має бути зайвих деталей, не передбачених законодавством або угодою з користувачами звітності. Необхідною є також ґрунтовна кадрова робота з персоналом, яка полягає, з одного боку, у забезпеченні фізичної безпеки працівників, охороні приміщення та документів, у роз'яснювальній роботі, а з іншого — у забезпеченні суворого нагляду за діями персоналу.

Великі підприємства із розвинутими КІСП мають скласти власні внутрішні стандарти з організації безпеки та захисту інформації. Загалом у таких стандартах мають бути вимоги до нормативно-правової бази, до систем розмежування доступу, контролю цілісності, криптографічного захисту інформації, а також до механізмів фізичного захисту компонентів автоматизованої системи. Крім того, стандарт має охоплювати вимоги із забезпечення безперервності захисту, наприклад вимоги до порядку і періодичності перегляду правил категоризації чи інформації привілеїв користувачів.

Залежно від виду загрози безпеці КІСП можна застосовувати різні засоби контролю і захисту.

Несанкціонованих змін даних можна уникнути лише за допомогою захисту від доступу до них осіб, котрі не мають на це права. Доступу до апаратної частини можна запобігти, визначивши приміщення, у які можуть входити тільки особи з особливими перепустками. Організації, які експлуатують великі комп'ютери, використовують саме такий вид захисту даних. При доступі до даних через невеликі термінали і персональні комп'ютери такий спосіб не використовується, і навряд чи можливий. Тому небезпека маніпуляцій даними бухгалтерського обліку в таких випадках значно більша, ніж у приміщеннях з обмеженим доступом.

Саме тому Положення про міжнародну аудиторську практику 1001 «Середовище КІС — автономні мікрокомп'ютери» одним із способів забезпечення безпеки вказує обмеження доступу до комп'ютерів — за допомогою дверних замків та інших засобів безпеки в неробочий час. Можуть застосовуватися додаткові способи забезпечення безпеки, наприклад:

  1.  зберігання комп'ютера в сейфі або захисному чохлі;
  2.  використання сигналізації, яка починає діяти тоді, коли комп'ютер відключається або пересувається зі свого місця;
  3.  прикріплення комп'ютера до столу;
  4.  замикаючий механізм для контролю доступу до кнопки увімкнення.

Ці заходи не виключають крадіжки комп'ютера, але підвищують ефективність контролю за несанкціонованим доступом.

До комп'ютера має бути обмежений доступ як осіб, котрі безпосередньо не пов'язані з роботою, так і програм, які не мають відношення до виконання поставлених завдань, особливо ігрових програм, які можуть внести до комп'ютера програми-руйнівники (так звані комп'ютерні віруси). Комп'ютер має замикатися на ключ, що знижує ймовірність доступу до нього сторонніх осіб. Усі програми, котрі завантажуються в комп'ютер, слід перевіряти на наявність комп'ютерних вірусів за допомогою спеціальних антивірусних програм.

Дані необхідно захищати також від несанкціонованого використання. У бухгалтерському обліку організації частково зберігаються дані, які стосуються різних юридичних і фізичних осіб, наприклад співробітників, постачальників, клієнтів, кредиторів та дебіторів. Ці дані у зв'язку із Законом про захист інформації можуть зберігатися і перероблятися тільки за певних умов і мають бути недоступні для неуповноважених осіб.

З метою запобігання розголошення змісту такої інформації необхідно вжити заходів, які б підвищували відповідальність працівників за розголошення такої інформації третім особам. Насамперед, бухгалтерську інформацію (окрім фінансової звітності, яку треба оприлюднювати) слід кваліфікувати як комерційну таємницю підприємства. Для цього підприємство має:

  1.  юридично закріпити за собою право на комерційну таємницю, тобто зафіксувати таке право в статуті підприємства;
  2.  визначити обсяг та склад відомостей, що становлять комерційну таємницю;
  3.  організувати її захист.

Належить встановити, хто визначає порядок захисту комерційної таємниці, а також закріпити право керівника підприємства вимагати від працівників, допущених до комерційної інформації, дотримання встановленого порядку та правил її зберігання.

Великою проблемою є захист інформації в разі випадкового або навмисного пошкодження технічних засобів чи електронних носіїв інформації. Розв'язання цієї проблеми полягає у створенні кількох резервних копій одночасно, час зберігання яких залежить від того терміну, протягом якого буде коригуватися масив даних. Такий спосіб зберігання резервних копій масивів стали називати «зберіганням інформації в поколіннях». Звичайно зберігають три покоління масиву (у разі появи четвертої копії першу копію знищують) [38]. їх зберігають протягом тривалого часу

і використовують як довідки для проведення аудиту або для відновлення інформації.

Крім застосування засобів захисту, що вбудовуються в програмне забезпечення (паролі, шифрування даних тощо), також має бути передбачено організаційні й адміністративні заходи. Служба безпеки підприємства зобов'язана стежити за тим, щоб унеможливити акустичне прослуховування приміщення бухгалтерії, наявність підслуховуючих пристроїв у комп'ютерах, обчислювальних мережах, телефонах, копіювальній техніці тощо.

Бухгалтерська інформація містить майже всі відомості про діяльність підприємства, тому вона часто є об'єктом уваги конкурентів. Саме тому бухгалтерська інформація має бути першочерговим об'єктом захисту. Однак комп'ютерні програми бухгалтерського обліку, які пропонують на ринку, мають різні можливості щодо захисту даних. Так, у програмах «Соло для бухгалтера с компьютером» та «Финансы без проблем» взагалі немає системи контролю доступу. У програмах «Парус», «1С: Бухгалтерия» така система має вигляд паролю для входу в програму. Програми «Толстый Ганс» та «1С: Бухгалтерия» дають можливість організувати доступ до окремих ділянок обліку — до каси, розрахунку заробітної плати, складського обліку тощо — визначених осіб, котрі мають свої паролі. Це дозволяє не лише захистити підприємство від несанкціонованого знімання комерційної інформації, а й уберегти його від шахрайства персоналу, що має безпосереднє відношення до роботи бухгалтерії. Однак самі файли баз даних і в цьому разі часто бувають незахищеними і їх може викрасти особа з мінімальними комп'ютерними навичками.

3.Контроль за виконанням   облікових записів у КСБО

Контроль дій облікового персоналу та системи обліку полягає в перевірці правильності використання плану рахунків, вчасності і правильності ведення облікових регістрів, відповідності даних синтетичного й аналітичного обліку даним бухгалтерського балансу та іншим формам звітності. Відповідно, метою такого контролю є забезпечення вчасного якісного виконання доручень та розв'язання питань. Досягати поставленої мети, а саме — контролювати всі зареєстровані документи із завданнями, що вимагають виконання, а також контролювати усні доручення та завдання керівництва дозволяють спеціальні алгоритми, реалізовані в КІСП.

Контроль за діями облікового персоналу і функціонуванням системи обліку дає можливість виявити причини виникнення помилок у звітності різних рівнів та різного призначення. До таких причин відносяться: навмисне викривлення звітних даних у первинних документах або зведених регістрах; випадкове викривлення через неуважність, халатність або незнання; недоліки системи обліку, що не враховують специфіки підприємства. Серед співробітників бухгалтерії також можуть бути шахраї, яких можна умовно поділити на дві групи. До першої належать бухгалтери, касири та інші особи, котрі мають право виконувати бухгалтерські проводки. Вони, як правило, вчиняють розкрадання шляхом внесення змін до облікових регістрів. До другої групи належать особи, котрі працюють в адміністрації підприємства. Другі можуть вчиняти шахрайства шляхом перекручення звітності підприємства, надання знижок до ціни товару або продукції, маніпуляцій з переоцінкою товарно-матеріальних цінностей та інших дій.

Для боротьби з шахрайством, що вчиняється шляхом знищення раніше виконаних проводок або внесенням змін до них, необхідно дозволити доступ до здійснення бухгалтерських проводок тільки бухгалтерові, який виконує роботу на конкретній ділянці. Наприкінці кожного робочого дня всі робочі журнали або Журнал реєстрації господарських операцій має бути роздруковано і завірено підписами двох незалежних один від одного працівників підприємства.

Для виявлення зловживань, що вчиняються шляхом надання необґрунтованої знижки ціни продукту або товару, а також за рахунок їх відвантаження без передоплати до початку її переоцінки та інших дій, у комп'ютерній програмі має бути довідково-пошукова система, яка дозволить за окремим критерієм угоди або за їхнього комбінацією, а саме — за датою відвантаження, ціною, партією, кількістю товару та іншими критеріями виявити, наприклад, усі угоди з конкретним товаром і визначити обґрунтованість знижки його ціни та правильність його переоцінки. Для цього в програмі слід передбачити можливість надавати кожній бухгалтерській проводці ряд ознак, за якими в майбутньому можна було б контролювати конкретні угоди. Наприклад, підприємство для потреб виробництва періодично закуповує певний матеріал. Для внутрішньогосподарського контролю достатньо вибрати всі проводки з цим матеріалом за визначений інтервал часу і, використовуючи щомісячний індекс інфляції, визначити відхилення ціни від фактичного значення. Якщо таке відхилення буде зафіксовано, то це є приводом для службового розслідування.

Однак інколи сама КІСП може стати інструментом для вчинення шахрайства. Наприклад, підприємство може вести подвійну (тіньову) бухгалтерію і зберігати її приховану частину на комп'ютері. Таке використання комп'ютерів дуже важливе, тому що якщо будь-який аудитор може відкрити традиційну бухгалтерську книгу і ознайомитися з її змістом, то не кожен з них має знання і досвід роботи на комп'ютері, а якщо і має, то завжди можна зробити неможливим доступ до секретної інформації.

Таким чином, комп'ютеризація суттєво змінює ряд контрольних функцій, які раніше виконувались бухгалтерами тільки вручну. Інформаційна система забезпечує безперервний контроль як за складанням документів, так і поточних облікових записів. Це зумовлено тим, що грамотно побудована інформаційна комп'ютерна система обов'язково має свою внутрішню структуру і вбудовані алгоритми, нав'язує бухгалтеру й управлінцю правила обліку та схему документообігу, задані відповідальними особами і зафіксовані в структурі системи. Практичний результат для підприємства — зменшення ймовірності помилок як через неграмотність або випадкову помилку бухгалтера, так і через навмисну шкоду.

При здійсненні контролю за роботою КСБО варто пам'ятати:

  1.  підробки в записи можуть внести не лише бухгалтери, котрі ведуть облік, а й сторонні особи, котрі мають достатню кваліфікацію, а за своїми службовими обов'язками пов'язані з комп'ютерами і мають доступ до програм;
  2.  оскільки автоматизація обліку передбачає кодифікацію господарських операцій, з метою внесення підроблених облікових записів можуть застосовуватися неправильні коди аналітичних рахунків. У довідники постійної інформації (прізвища співробітників, найменування запасів тощо) можуть навмисне вноситися
    неправильні дані з метою наступного внесення підробок в облікові записи;
  3.  з метою зловживання можуть використовуватися недостовірні облікові та звітні дані в повному обсязі, тобто всі облікові регістри і звітність. Якщо аудитор під час перевірки не застосовує методів фактичного контролю (інвентаризації майна тощо), він не виявить фактів недостовірності звітності, а отже, висновок аудитора про достовірність звітності підприємства може бути
    використано з метою обману інвесторів, кредиторів, акціонерів.

Для виявлення фактів злочинів, пов'язаних з виконанням необґрунтованих облікових записів в умовах автоматизованої обробки облікової інформації, доцільно вивчити такі питання:

  1.  як здійснюється й оформляється процес видачі дозволу на господарську операцію (перевірка документа-підстави);
  2.  яка якість заходів захисту даних в автоматизованих системах. Перевірку здійснюють за такими параметрами: криптографія — кодування інформації; закріплення відповідальності за інформаційні ресурси — доведення до відома користувачів закріпленої за ними відповідальності за інформаційні ресурси; записи-«наживки» — записи, які включаються у файл з метою виявлення несумлінного використання цього файлу; контрольоване знищення інформації; класифікація інформації відповідно
    до її значення;
  3.  як організовано систему контролю зберігання інформації:
    а) наявність контрольних підсумків — значень ключових полів для перевірки точності і повноти даних, що зберігаються, при повторному використанні; б) наявність проміжних підсумків —даних, що не мають певного сенсу (наприклад, кількох літер), для перевірки наявності змін у господарських операціях, а також для перевірки точності і повноти файлу; в) зберігання даних в окремому захищеному приміщенні (на випадок пожежі тощо);
    г) інвентаризація машинних носіїв.

Розв'язання проблеми контролю облікових записів є можливим завдяки створенню паралельних інформаційних потоків, які контролюють один одного і забезпечують вірогідність облікових даних. Таке ведення облікових записів забезпечує вчасне виявлення відхилень, після якого бухгалтер працює не з усім інформаційним масивом, а тільки з цими відхиленнями. У такому разі електронний обліковий регістр (журнал операцій) не виправляється, а зберігається невиправленим. Усі помилки, які виникають при подальшій роботі з регістром, або виправляються бухгалтером в самому регістрі, або фіксуються ним в окремому журналі виправлення помилок. Отже, протягом усього облікового циклу (як правило, місяця) дані, зафіксовані в запам'ятовуючому пристрої комп'ютера, не виправляють. Після закінчення місяця бухгалтер отримує два регістри по кожній ділянці роботи — безперервний, суцільний основний регістр з помилковими записами, і скоригований з виправленнями. У цьому разі залишається «слід», який чітко показує всі виправлення, котрі здійснив бухгалтер. Бухгалтер точно знає підсумок і при цьому, що дуже важливо, втрачає можливість безпосередньо виправляти початковий запис.

Але якщо вимоги до контролю облікової інформації не дуже суворі, то слід поєднувати окремі ділянки обліку так, щоб факти надходження з однієї ділянки (наприклад, зі складу) і вибуття з другої (наприклад, за договором постачання) реєструвалися як одна операція, і тим самим у принципі виключалася можливість розбіжності даних.

На жаль, фірми-розробники не приділяють належної уваги забезпеченню ефективності засобів контролю. У публікаціях М.В. Комлєва , Ю. Михайлова , СП. Проскуріна висловлюється погляд на те, що проектувати КІСП слід тільки в такий спосіб, щоб будь-яка сума автоматично записувалася на двох рахунках бухгалтерського обліку без автоматичної перевірки. Результати проведеного огляду програмних продуктів для бухгалтерського обліку засвідчують, що саме так тепер і будують комп'ютерні облікові програми. Таким чином, ігнорується важливий принцип, який ввели в теорію бухгалтерського обліку в умовах його комп'ютеризації професори В.Ф. Палій та Я.В. Соколов, — колація [32], що передбачає зустрічний контроль двох інформаційних потоків.

Комп'ютеризувати облік з дотриманням принципу колації можна за двома варіантами комп'ютеризації обліку. При першому варіанті комп'ютеризації підлягають окремі ділянки облікової роботи. Підприємство обладнують набором автоматизованих робочих місць (АРМ), кожне з яких призначене для вирішення певного облікового завдання. АРМ здійснюють автономну обробку інформації без використання інформації з інших АРМ. Інформаційні зв'язки між автономними АРМ розірвані, що дає можливість здійснення навмисних викривлень, зловживань. За допомогою структуризації завдань забезпечуються логічна і систематична організація роботи бухгалтерії з розподіленими завданнями. За допомогою поділу функцій, коли кожному працівникові бухгалтерії доручають лише частину функцій, можна, з одного боку, підвищити якість їх виконання, з іншого боку — реалізувати додаткову контрольну функцію шляхом погодження заключних результатів роботи інших працівників. Більше того, поділ функцій усередині бухгалтерії буде перешкоджати несумлінним діям, тому що їх довелося б робити спільно двом або більше працівникам. Отже, за першим варіантом комп'ютеризації необхідний додатковий контроль та дублювання інформації, що забезпечується організаційними методами.

Другий варіант передбачає системну комп'ютеризацію обліку шляхом об'єднання АРМ в єдину комп'ютерну мережу. У цьому разі весь обсяг інформації в мережі стає доступним для всіх користувачів. Тому під час системної комп'ютеризації розрив будь-якого інформаційного ланцюга сигналізує про аварію і локалізує її джерело. Крім того, стає можливою безпосередня колація (порівняння) облікових даних. Зазначимо, що в умовах системного комп'ютерного обліку підвищується інтеграція процесів контролю, що дозволяє забезпечити взаємозв'язок об'єктів контролю при перевірці господарських операцій і процесів.

Більшість сучасних комп'ютерних облікових систем розраховані на спільну роботу бухгалтерів у мережі, тому в її основу має бути покладено принцип відповідальності: кожний бухгалтер відповідає за ведення інформації на своїй ділянці обліку. Це забезпечується за допомогою виконаних, відкладених і відкинутих проводок. При введенні господарської операції сальдо і обороти змінюються тільки по тих рахунках, які відносяться до цієї ділянки. На кореспондуючому рахунку, якщо він не відноситься до цієї ділянки обліку, проводка є відкладеною доти, доки її не підтвердить бухгалтер на тій ділянці, до якої відноситься цей кореспондуючий рахунок.

Другий бухгалтер може не лише підтвердити, а й відкинути введену на суміжній ділянці проводку. Цим забезпечується незалежність кожного виконавця. Без його згоди жодна проводка, введена на суміжній ділянці, не змінить оборотів і залишків (сальдо) на його рахунку.

За допомогою поділу функцій, коли кожному працівникові бухгалтерії доручають лише частину функцій, можна, з одного боку, підвищити якість їх виконання, з іншого боку — реалізувати додаткову контрольну функцію шляхом погодження заключних результатів роботи інших працівників. Більше того, поділ функцій усередині бухгалтерії буде перешкоджати несумлінним діям, тому що їх довелося б робити спільно двом чи більше працівникам. При цьому проводяться розбіжності між горизонтальним і вертикальним поділом функцій. При горизонтальному поділі функцій мова йде про розподіл робіт на одному етапі облікового процесу. Наприклад, функції такого етапу облікового процесу, як відображення дебіторської заборгованості, може бути доручено двом (чи більше) співробітникам, якщо обсяг проводок досить великий. При вертикальному поділі функцій їх розподіл

відбувається між окремими етапами облікового процесу, тобто всі схожі завдання вирішує один працівник.

Проводки, введені на одній ділянці, але відкладені або відкинуті на іншій, є суперечливими. Бухгалтер, відповідальний за зведений облік, може отримати повний перелік суперечливих проводок для прийняття рішення. Підсумкову звітність підприємства може бути сформовано тільки тоді, коли всі проводки, які стосуються різних ділянок обліку, виявляться підтвердженими на кожній з ділянок.

Наприклад, у програмі «Интегратор» забезпечується узгоджена робота всього персоналу й одноразове введення інформації при дотриманні принципів відповідальності і суверенності. У мережевому варіанті системи проводки із суміжних ділянок, без їх підтвердження на поточній ділянці не змінюють оборотів і сальдо рахунка, закріпленого за даною ділянкою .

Інший механізм контролю реалізовано в програмі «1С: Бухгалтерия 7.7». У ній для рахунка можна вводити ознаки «Активний», «Пасивний», «Активно-пасивний», які використовуються для виявлення помилкових дій. Так, для активних рахунків при перевищенні кредитового обороту над дебетовим від'ємний залишок за дебетом буде сигналізувати про помилку. Система автоматично перевіряє правильність використання позабалансових рахунків: не допускається кореспонденція позабалансових рахунків з балансовими. З іншого боку, проводка з позабалансовим рахунком взагалі може не мати кореспондуючого рахунка.

При комп'ютерно-комунікаційній формі обліку первинну необроблену інформацію вводять у систему безпосередньо з робочих місць — на промисловому підприємстві це можуть бути АРМ у цехах основного і допоміжного виробництв, у коморах, відділах збуту, інших підрозділах. Тому для визначення структури бухгалтерії одним з найважливіших факторів, який береться до уваги, є можливість здійснення контролю за достовірністю облікових даних і надійністю інформаційних зв'язків як усередині бухгалтерії, так і між бухгалтерією та підрозділами підприємства.

З огляду на це перспективною є така побудова структури бухгалтерії, за якої в її складі замість бухгалтерів з ділянок обліку виділяють два основні відділи: відділ інформаційної системи та контрольний відділ, підпорядковані головному бухгалтеру (рис. 5.3.).

Рис. 5.3.. Перспективна структура облікового апарату

Перший відділ — інформаційний — забезпечує взаємозв'язок із структурними підрозділами. Це відповідна група працівників, до якої належать інженери-програмісти та бухгалтери-консультанти, котрі допомагають технічним працівникам вводити первинну інформацію.

Таким чином, до працівників першого сектора належать працівники, які забезпечують безперебійне поповнення інформаційної бази даних та поточне налагодження комп'ютеризованої системи бухгалтерського обліку.

До другого відділу — контрольного — входить група бухгалтерів-контролерів, які безпосередньо не вводять облікову інформацію до бази даних, але здійснюють контроль за правильністю її введення і, за необхідності, коригують. Окрім наведених функцій, до компетенції контролерів входять розробка і перевірка виконання облікової дисципліни, складання звітності, складання кошторису і контроль його виконання, складання нормативних і фактичних даних та їх оцінка.

5.4.Програмне забезпечення аудиторської діяльності

Комп'ютеризація обліку суттєво впливає на проведення аудиту. Однак і сам комп'ютер може стати інструментом аудитора, що дає йому змогу не лише скоротити час і витрати при проведенні аудиту, а й провести

більш детальну перевірку і скласти якісний аудиторський висновок з рекомендаціями зі стратегії, за напрямками і засобами поліпшення фінансово-господарського становища підприємства. Положення про міжнародну аудиторську практику 1009 «Методи аудиту з використанням комп'ютерів» описує такі методи аудиту з використанням комп'ютерів (рис. 5.4.).

Методи аудиту з використанням комп'ютерів

Тестові методики

Аудиторське програмне забезпечення

Тестування засобів контролю в комп'ютерних

програмах

Спеціальні програмні засоби комп'ютерного

аудиту

Еталонні контрольні

операції

Програмні засоби підтримки

аудиторських процедур

Використання фіктивного» модуля

Пакети прикладних програм загального і проблемно-орієнтованого призначення

Рис. 5.4. Методи аудиту із застосуванням комп'ютерів

Способи й методи тестування КСБО було розглянуто в п. З.4. Нижче розглянемо види та призначення аудиторського програмного забезпечення.

Проблема автоматизації контролю й аудиту ґрунтується на проблемі формалізації цього процесу. Формалізація, здійснювана в стандартах аудиту, на жаль, дуже мало підходить для проведення якісної аудиторської перевірки. Сьогодні неможливо повністю формалізувати такий творчий процес, як аудит, так, щоб у підсумку мати алгоритми для комп'ютерної автоматизації і при цьому не втратити якості перевірок.

Технологія аудиту значною мірою є творчим процесом, особливості якого залежать як від конкретного підприємства, яке перевіряють, так і від практичного досвіду та поглядів самого аудитора. Спроба нав'язати аудиторам тверду схему-методику заздалегідь приречена на невдачу.

Зауважимо, що в деяких системах обліку, в яких використовують комп'ютерну обробку значної частини операцій, можуть бути труднощі з отриманням чітких результатів без допомоги спеціальних комп'ютерних програм. Крім того:

а) при невеликих обсягах даних ефективнішими можуть бути методи обробки даних без використання комп'ютера;

б) можна не отримати адекватної технічної допомоги від клієнта, що зробить використання спеціалізованих комп'ютерних методів аудиту неефективним.

Аудиторська діяльність має свою специфіку. Відповідно, на відміну від програм бухгалтерського обліку, вимоги до аудиторського програмного забезпечення будуть такими.

Наявність розвинутих засобів контролю операцій. Контроль має здійснюватися не лише в момент оформлення документа чи проводки, як прийнято в суто бухгалтерських програмах, а й тоді, коли в цьому виникає необхідність.

Підвищена гнучкість. Оскільки аудиторам доводиться працювати з різними замовниками, котрі мають різні облікові політики, форми звітності і навіть плани рахунків, то програма має швидше перенастроюватися на специфіку страхової компанії, торгового дому, бюджетної організації, виробничої компанії. У системах комп'ютеризації, призначених для зовнішнього аудиту,
мають враховуватися загальні стандарти й окремі облікові правила для підприємств, які перевіряють.

Ергономічність. Під цим розуміють наявність засобів для зручного введення великих обсягів інформації, оперативного і простого формування звітів. Іншими словами, програма має бути розрахована не на програміста чи оператора, а на аудитора, знання якого в галузі комп'ютерної техніки можуть бути обмежені.

4. Зв'язок на рівні баз даних з бухгалтерськими програмами. Необхідні додаткові засоби для введення і виведення даних, представлених у різних форматах.

Крім основних вимог, аудиторському програмному забезпеченню (як і будь-яким іншим прикладним програмам) мають бути властиві такі ознаки: простота освоєння, швидкодія, професійна оперативна підтримка з боку розробників.

У роботі зі спеціальним аудиторським програмним продуктом поетапно виконують такі процедури.

На першому етапі аудитор визначає завдання, які необхідно вирішити під час перевірки за допомогою спеціального програмного забезпечення.

На другому етапі складають план виконання поставлених завдань і роблять оцінку реальності застосування аудиторських програмних засобів. З цією метою здійснюють аналіз форми і методів застосовуваного на підприємстві бухгалтерського обліку й оцінюють можливість застосування спеціального аудиторського програмного забезпечення. При цьому встановлюють обсяг облікової інформації, обсяг роботи аудитора, кількість часу, необхідні для проведення аудиторської перевірки. На цьому етапі визначають потрібну потужність обчислювальної техніки і складають графік виконання аудиторських робіт із зазначенням обсягів виконуваних робіт, термінів виконання, конкретних виконавців та форми завершення.

На третьому етапі здійснюють налагодження стандартних програмних засобів, розробку нових засобів, необхідних для цієї аудиторської перевірки. Наявні програмні засоби адаптуються для фактичних облікових даних.

На четвертому етапі здійснюють перевірку сформованих на електронних носіях даних з метою підтвердження їхньої незмінності, оцінюють стан підприємства, яке перевіряють, проводять тестування й обробку за графіком, аналіз отриманої інформації, її оцінювання за допомогою бази знань і формують комп'ютерний висновок за позиціями, котрі перевіряють.

У створенні аудиторських систем є дві базові стратегії:

• мінімізація витрат на введення початкових даних;

• мінімізація ризику пропуску помилкових даних у фінансовій документації.

Вибираючи першу стратегію, можна використовувати введення інформації на зразок «так — ні», яку задають набором тестів, або частково відмовитись від уведення бухгалтерської інформації

клієнта. Цей шлях може призводити до значного ризику пропущення помилок.

Друга стратегія потребує значних витрат на введення початкових даних. Для скорочення цих витрат можна орієнтуватися на первинну інформацію клієнта, у якій відбито всі фінансово-господарські операції на аналітичному і синтетичному рівнях. З цією метою можна використовувати конвертацію даних бухгалтерської системи клієнта в програмне середовище аудиторської системи чи адаптацію аудиторської системи до структури інформаційної бази клієнта.

Вітчизняний ринок спеціальних інформаційних систем аудиту лише починає розвиватися. На світовому ринку представлені аудиторські програми трьох типів:

  1.  спеціальні програмні засоби комп'ютерного аудиту;
  2.  програмні засоби підтримки аудиторських процедур;
  3.  пакети прикладних програм загального і проблемно-орієнтованого призначення.

Перший тип програм — спеціальні програмні засоби комп'ютерного аудиту — призначений для проведення аудиту безпосередньо комп'ютерної системи клієнта шляхом її тестування з використанням різноманітних методів. Результатом є висновок про фактичну працездатність процедур контролю та захисту даних у системі, що дозволяє оцінити ризик неефективності контролю і визначити можливість використання бази даних клієнта в проведенні аудиторської перевірки.

Другий тип програм — програмні засоби підтримки аудиторських процедур — забезпечує роботу з великими масивами даних, що перевіряються, при виконанні аудиторських процедур (наприклад, перевірка й аналіз записів, зіставлення даних різних файлів, розмітка і роздрукування вибірок, генерація звітів тощо).

Програмні засоби підтримки аудиторських процедур допускають виконання певних тестів на фактичних даних. За допомогою таких програмних засобів здійснюють аудиторську перевірку й аналіз записів на основі визначених критеріїв з метою визначення їхньої якості, повноти і правильності. Для цього також використовують базу знань, що допомагає визначити невідповідності і прийняти необхідні рішення. Таке програмне забезпечення дозволяє робити тестування розрахунків, виконувати необхідні перерахунки і зіставляти отримані результати з нормативними, кошторисними, попередніми даними. У літературі з питань комп'ютеризації аудиту [35] модель такої реалізації аудиторської програмної системи має таку структуру (рис. 5.5).

Модуль набуття знань призначений для формування бази знань. База знань складається з двох частин: бази правил і бази фактів.

База правил містить процедурні знання в стандартній формі: ЯКЩО <умова>, ТО <реакція>.

Рис. 5.5. Структура аудиторської системи

Наприклад, якщо показник «Обсяг робіт» у «Договорі підряду» збігається з показником «Обсяг виконаних робіт» в «Акті приймання», то можна перейти до наступного правила.

База фактів є семантичною мережею з множиною предикатів. Вона відображає типовий опис змісту бухгалтерської документації та її взаємозв'язків.

Припустимо, що аудитору необхідно упевнитися в правильності застосування облікової ціни готової продукції. Для цього створюється правило, яке може мати вигляд: ЯКЩО облікова ціна дорівнює сумі за одиницю з планів калькуляції собівартості, ТО помилки немає.

Модуль виконання аудиту призначений для ініціалізації роботи системи, формування аудиторських висновків.

Програма «Помощник аудитора», створена за цією схемою російською фірмою «Гольдберг-аудит», є спробою створити аудиторську систему, що реально працює, спрямовану на розв'язання завдань аудиту на всіх етапах його здійснення . Структура автоматизованої аудиторської системи складається з чотирьох основних блоків, функції яких відповідають чотирьом етапам проведення аудиту.

У блоці підготовчого етапу міститься анкета для підприємства, яке перевіряють, і бланки-тексти листів, якими обмінюються аудитор і клієнт перед укладенням договору на аудит — лист-пропозицію і лист-зобов'язання.

На цьому етапі збирають дані про клієнта і отриману інформацію вводять у комп'ютер для подальшого використання в інших блоках.

Блок планування містить математичні моделі й алгоритми розрахунків величин аудиторського ризику, рівня суттєвості й вибірки. Через бланки-розрахунки вводять необхідні для розрахунків вихідні дані, що відповідають типу підприємства, яке перевіряють. Введення даних може здійснюватися як вручну, так і автоматично з облікової бази даних. Друге переважає, тому що розрахунки суттєвості і вибірки для конкретних процедур ґрунтуються на знанні кінцевого сальдо, дебетових і кредитових оборотів по конкретних рахунках.

У результаті розрахунків програма визначає всі необхідні для планування величини. Виробляється також вибір загального плану і програми аудиту.

Блок процедур аудиту найбільший і найважливіший. Він охоплює такі елементи:

  1.  робочі програми аудиту за розділами;
  2.  бланки-процедури для кожного розділу аудиту;
  3.  бланки-тести для окремих розділів аудиту;
  4.  висновки за розділами аудиту.

У цьому блоці реалізується стратегія оптимізації обсягу інформації, яку вводять, з мінімізацією ризику аудиторських помилок. Це найскладніша частина автоматизації системи, спрямована на встановлення зв'язків між інформацією аудитора, яку вводять, при виконанні процедур, розрахунковими значеннями суттєвості та вибірки і формуванням висновку аудитора щодо конкретного розділу.

Суттєвою допомогою в роботі аудитора на цьому етапі перевірки можуть стати додаткові засоби довідкового характеру. Ними можуть бути:

виклик довідково-правової системи;

коротка довідка із законодавчих документів;

перелік типових помилок для тієї чи іншої процедури;

методика виконання процедури тощо.

Основним завданням блоку процедур є підготовка матеріалів для аналітичної частини аудиторського висновку.

У блоці заключного етапу є бланки-шаблони для підготовки офіційного висновку, що має вступну, аналітичну і заключну частини. Форми вступної і заключної частин мають стандартизований вигляд. У блоці є також бланк письмової інформації аудитора керівництву економічного суб'єкта.

Іншою подібною програмою є теж російська Abacus Professional, яка охоплює практично всі стадії проведення аудиторської перевірки . При першому знайомстві з клієнтом аудитор за допомогою програми може провести експрес-аудит бухгалтерської звітності. Для спрощення цієї процедури в програмі реалізовано можливість уведення даних з інших бухгалтерських програм у форматах СУБД Btrieve, Clarion, Clipper, Foxpro тощо. Використання цих прийомів допомагає оперативно виявити ділянки обліку клієнта, де імовірний ризик виникнення помилки, і прийняти рішення про проведення чи непроведения аудиторської перевірки. Під помилкою, яку виявляє комп'ютер, розуміють нестиковку не лише математичних операцій, а й логічну. Експрес-аудит дозволяє також приблизно оцінити обсяги вибірки, терміни проведення перевірки, суму аудиторського гонорару.

На стадії перевірки правильності оформлення документів і пов'язаних із ними проводок, накопичувальних регістрів і звітів аудитор може використовувати спосіб простежування за якою-небудь ознакою, наприклад за сумами чи контрагентами, що здаються «підозрілими». Під простежуванням (audit trial) розуміють процедуру, у ході якої аудитор перевіряє деякі первинні документи і їхнє відображення в регістрах синтетичного й аналітичного обліку. Відповідна заключна кореспонденція рахунків, жорстко прив'язана в програмі до цих документів, дозволяє зробити висновок про правильність (чи неправильність) відображення цієї господарської операції в бухгалтерському обліку.

Для формування звітів довільної форми існує спеціальний конструктор документів і звітів — Abacus Designer, за допомогою якого розробники доопрацьовують звіти за технічним завданням самих аудиторів. На базі Abacus Designer можна також підготувати контрольні акти звірки розрахунків, спеціальні звіти, у яких інформація може бути подано в різних розрізах, з різною глибиною аналітики.

Одним із найскладніших напрямів аудиторської діяльності є оптимізація облікової політики підприємства. Оскільки Abacus Professional підтримує роботу з кількома базами даних, для аудитора стає можливим моделювання ситуації зміни облікової політики фірми-клієнта на підставі реальних даних. Таким чином, аудитор може обґрунтувати, які прибутки принесе фірмі-замовнику зміна облікової політики або яких втрат вона зазнає від цього, і дати зважені рекомендації зі стратегічного планування.

                        

          Питання для контролю

  1.  Які передумови створення комп'ютерних систем бухгалтерського обліку ви можете назвати?
  2.  Назвіть та охарактеризуйте принципи створення КСБО.
  3.  Які вимоги мають задовольняти комп'ютерні програми бухгалтерського обліку?
  4.  Яка специфіка автоматизації бухгалтерського обліку на підприємствах різних розмірів?
  5.  Дайте характеристику різних способів та підходів до створення КСБО.
  6.  Які є рівні програмування комп'ютерних програм бухгалтерського обліку?
  7.  Назвіть та охарактеризуйте функції персоналу КСБО.
  8.  Які мережеві технології застосовуються в комп'ютерній бух- галтерії?
  9.  З яких етапів складається створення комп'ютерної системи бухгалтерського обліку на підприємстві?
  10.  Опишіть послідовність робіт кожного етапу створення КСБО.
  11.  Яким чином класифікуються програмні продукти для бухгалтерії?
  12.  Як провести тестування і вибір бухгалтерського програмного забезпечення?
  13.  Які типи мов програмування використовуються при створенні бухгалтерських програмних продуктів?
  14.  Які переваги дає підприємствам КСБО і як розрахувати її
    економічну ефективність?
  15.  Які форми побудови облікового апарату ви знаєте?
  16.  Які принципи розподілу праці облікових працівників ви
    знаєте?
  17.  Які особливості побудови структури бухгалтерії при застосуванні обчислювальної техніки?
  18.  Що таке комп'ютерний аудит? Яке його відношення до аудиту фінансової звітності?
  19.  За якими основними параметрами має здійснюватися перевірка КІСП щодо захисту і безпеки даних?
  20.  Які організаційні заходи слід здійснювати на підприємстві,
    що використовує КСБО?
  21.  Як налагодити ефективний контроль за здійсненням облікових записів у КСБО?

22.Які типи програмних продуктів використовує  аудитор?

Тема 6. Аудит інформаційної безпеки підприємства

6.1.Загрози інформаційній безпеці підприємства.

6.2.Етапи убезпечення інформаційної системи.

    6.3.Засоби і методи захисту інформаційних систем.

     6.4.Відповідальність за незаконність використання інформаційних систем.

6.1.Загрози інформаційній безпеці підприємства

Виходячи із загального визначення інформаційної системи як системи, що збирає, зберігає, обробляє і надає користувачам інформацію, процес функціонування будь-якої інформаційної системи з погляду загроз її функціонуванню можна подати таким чином (рис. 6.1).Безпечною є інформаційна система, яка забезпечує такі властивості інформації:

  1.  цілісність — відповідає стану системи, коли інформація є вчасною, точною і повною;
  2.  конфіденційність — вимога, щоб до приватної або
    конфіденційної інформації, яка міститься у системі, мали
    доступ тільки уповноважені користувачі;
  3.  доступність — вимога, щоб система працювала коректно і не відмовляла у доступі легальному користувачу.

Використання КІСП для потреб управління підприємством створює додаткові ризики невиявлення помилок в обліку та винесення аудитором помилкового судження.

Приклади причин помилок в обліковій інформації при застосуванні КІСП наведені в табл. 6.1.

Крім того, Положення про міжнародну аудиторську практику № 1008 "Оцінка ризиків та внутрішній контроль — характеристика КІС та пов'язані з ними питання" передбачало, зокрема, те, що в КІСП наявна вразливість

Рис.6.1.Загрози інформаційній безпеці підприємства

Таблиця 6.1. Приклади появи можливих помилок в обліковій інформації при застосуванні КІСП

№ з/п

Найменування

Приклади

1

Зменшення ступеня залучення персоналу

Якщо обліковий персонал чи аудитор не мають можливості безпосереднього візуального спостереження первинної інформації, що вводиться (чи можуть тільки перевірити результати обробки даних у формі звітів), це підвищує ймовірність пропуску помилок і неточностей

2

Помилки в програмних алгоритмах

У спрощених і навіть у складних КСБО іноді (наприклад, при неправильному складанні бухгалтером чи програмістом визначеного алгоритму часто повторюваних розрахунків — скажімо, за ПДВ) підвищується ймовірність системних помилок і неточностей. При цьому навіть якщо вони несуттєві кожна окремо, їх сукупний накопичений за рік ефект може значно спотворити звітність у цілому

3

Порушення конфіденційності

Можливий витік або несанкціонована зміна інформації (у тому числі і конфіденційної), внесення небажаних змін у саму систему, а також матеріальні втрати (розкрадання коштів, товарно-матеріальних цінностей та інших активів) у результаті шахрайства з використанням комп'ютерів

4

Порушення цілісності

Подання обліково-аналітичної інформації у формі великої бази даних обтяжено потенційним ризиком перекручування чи навіть втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необхідності її термінового відновлення в значних масштабах і як наслідок — в суттєвих за часом перервах при обробці поточної облікової інформації

засобів зберігання даних і програм, — великі обсяги даних і комп'ютерні програми, що використовуються для обробки інформації, можуть зберігатися на вбудованих або зйомних носіях інформації, таких як магнітні диски і плівка. Такі носії інформації можуть бути украдені, загублені, навмисно або випадково знищені.

6.2.Етапи убезпечення інформаційної системи.

Аналіз ризиків, пов'язаних з безпекою інформаційної системи, передбачає чотири етапи   .

  1.  ідентифікацію засобів захисту на визначеній ділянці
    інформаційної системи;
  2.  оцінку надійності засобів захисту на цій ділянці;
  3.  оцінку ймовірності, що акт порушення безпеки буде
    успішний, з огляду на набір засобів захисту на цій ділянці інформаційної системи і їхньої надійності;
  4.  оцінку втрат, що понесе підприємство, якщо акт по
    рушення безпеки обійде засоби захисту в цьому місці інформаційної системи.

Розглянемо перший етап: ідентифікація засобів захисту на визначеній ділянці інформаційної системи. Напевне, найлегший спосіб це зробити — використати анкетні опитування, розроблені, щоб оцінити безпеку. Вони містять детальні переліки запитань щодо засобів захисту, які аудитори можуть використовувати, щоб систематично визначати, чи працює певний засіб. Аудитори можуть використовувати інтерв'ю, спостереження, і документацію, щоб одержати інформацію про засоби захисту на визначеній ділянці інформаційної системи.

Для оцінки надійності цих засобів захисту, аудитор повинен їх тестувати. У деяких випадках тести є безпосередніми. Наприклад, звичайно легко визначити, чи запобігають замкнені двері неправомірному доступу в приміщення, де розташовані комп'ютери.

Деякі типи засобів захисту, однак, складно перевірити. Наприклад, щоб перевірити, чи працює система пожежогасіння, потрібно було б розпалити пожежу, а потім запустити систему пожежогасіння, щоб оцінити її ефективність. У деяких ситуаціях, пов'язаних з підвищеним ризиком, аудитори можуть періодично моделювати займання у комп'ютерній кімнаті, щоб визначити, чи гасить система вогонь. Зазвичай, однак, аудитори покладаються на звіти технічного обслуговування і гарантії виробника, що система буде працювати ефективно.

Коли всі чотири етапи аналізу ризиків, пов'язаних з безпекою інформаційної системи, пройдені, можуть бути визначені слабкі місця, пов'язані з інформаційною функцією систем. Ризик, пов'язаний з безпекою, — це очікуваний розмір втрат за визначений період, з огляду на надійність засобів захисту. Слабкі місця виникають, тому що немає ніякого засобу, щоб запобігти акту порушення безпеки, або є імовірність, що засіб забезпечення безпеки на визначеній ділянці інформаційної системи не спрацює проти специфічного інциденту, що відбудеться.

Запобігти ризикам та забезпечити вимоги до безпеки інформації покликані засоби інформаційної безпеки КІСП. Аудитор зобов'язаний виявити слабкі місця внутрішніх засобів контролю КІСП — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи, які становлять на підприємстві процес управління захистом КІСП (рис. 6.2).

Щоб оцінити ймовірність того, що акт порушення безпеки обійде засоби захисту, аудитор:

  1.  розглядає кожний з активів або кожну з груп активів, визначених на другому етапі аналізу ризиків, пов'язаних з безпекою;
  2.  розглядає кожну з можливих загроз, ідентифікованих протягом четвертого етапу аналізу;
  3.  визначає, чи існує засіб захисту, щоб запобігти акту порушення безпеки;
  4.  якщо так, оцінює ймовірність ефективної роботи засобу захисту та ймовірність усунення або пом'якшення ефекту від акту злому.

Рис. 6.2. Процес управління захистом КІСП

Оскільки можливість різних зловживань здебільшого створюється браком необхідних програмних засобів контролю, а система автоматизованого контролю має бути передбачена в проекті автоматизації обліку, то аудитор за будь-якого рівня автоматизації бухгалтерського обліку повинен перевіряти проектну документацію на створення такої підсистеми. Документація перевіряється на наявність

в проекті засобів автоматизованого контролю — як для забезпечення достовірності інформації, що обробляється на основних етапах облікового процесу, так і для виявлення різного роду зловживань. У результаті такої перевірки можуть бути виявлені "слабкі" місця (з контрольних позицій) в програмі, що не перешкоджають здійсненню порушень, зловживань, наприклад, відсутність програмного контролю внутрішнього переміщення матеріальних цінностей і грошових коштів тощо.

Також аудитору слід проаналізувати систему контролю підготовки облікових даних, перевірити, які заходи вжиті в клієнта для запобігання помилкам і фальсифікаціям. Слід зазначити способи організації контролю повноти і правильності введення первинної інформації в інформаційну базу, контролю обробки і висновку даних, дати оцінку їх достатності й ефективності. У багато користувацьких мережевих системах об'єктом уваги має бути контроль передачі даних.

Якщо внутрішні засоби контролю можуть відмовити з певною ймовірністю, аудиторська оцінка цілісності даних має бути сформульована у термінах ймовірнісного розподілу виникнення помилки.

Завжди, якщо можливо, аудитори повинні використовувати аналітичні моделі для підтримки у підготовці аудиторського висновку. Це справедливо, коли проводиться не тільки аудит фінансової звітності, а й спеціалізований аудит інформаційної безпеки. За допомогою аналітичних моделей аудитори, як правило, можуть оцінити значення залежних змінних, які їх цікавлять, з невеликими витратами в широкому діапазоні значень і структури моделі. Наприклад, детерміновані моделі та імовірнісні моделі здебільшого можуть бути розроблені досить швидко й дешево.

Іноді, однак, аналітичні моделі не можна використати при підготовці висновку щодо інформаційної безпеки. Для початку, аудитор може вирішити, що припущення, які лежать в основі моделей, занадто вузькі і не відображають

дійсність досить добре. Крім того, іноді аналітичні моделі не дозволяють математичні перетворення, тому що відповідні рівняння, використані для моделювання системи, виражені не в явному вигляді, або не мають рішення. У цих випадках аудитор для підтримки складання аудиторського висновку може використати симуляційні моделі.

Коли аудитор формулює висновок, він прагне визначити вплив сильних і слабких сторін окремих внутрішніх засобів контролю на загальну надійність системи. Він робить висновок наприкінці попередньої оцінки внутрішньої системи управління і після того, як закінчені тести засобів контролю і тестування по суті.

Оцінку системи внутрішніх засобів контролю потрібно розглядати в межах структури рентабельності. Аудитор має оцінити потік прибутків і витрат, пов'язаних з розробкою, впровадженням, функціонуванням і обслуговуванням внутрішньої системи захисту. Він повинен також оцінити дисконтну ставку, яку буде використовувати для цього потоку прибутку і витрат. На закінчення аудитор може обчислити чисту приведену вартість системи (net present value), щоб визначити, чи варто робити в неї інвестиції.

Найбільшій кількості загроз, і, відповідно, найбільшому ризику виникнення помилок, піддається інформація під час її зберігання. Таким чином, одним із завдань аудитора є оцінка цілісності інформації та збереженості інформаційних активів у системі.

Інформаційні активи системи, які необхідно захистити, можуть бути класифіковані таким чином:

  1.  фізичні активи — включають персонал, апаратні засоби (у тому числі носії даних і периферію), засоби обслуговування, постачання, і документацію;
  2.  логічні активи — включають дані та програмне забезпечення.

Для того, щоб оцінити, наскільки добре захищені активи та забезпечена цілісність даних, аудитору потрібна певна шкала. Захищеність активів і забезпечення цілісності даних не належать до показників типу "так — ні", а натомість можуть мати різні ступені захищеності та забезпеченості. Аудитор повинен мати змогу кількісно оцінити ці показники.

З метою визначення втрат, що будуть понесені від актів порушення безпеки, які не змогли бути попереджені засобами захисту, необхідно спочатку визначити наслідки цього акту: чи був актив втрачений, пошкоджений, наданий третім особам, вилучений, зруйнований або використаний у неправомірних цілях? Потім ці наслідки необхідно оцінити в грошовому еквіваленті.

Як показник захищеності активів можна використовувати очікувані збитки, які підприємство понесе у випадку знищення, викрадення активу або його використання у неправомірних цілях. Аудитор може призначити різні ймовірності різним видам втрат, які можуть виникнути.

Аудитор повинен визначити, будуть збитки повною чи лише частковою втратою майна. Для всіх активів і видів ризику очікувані збитки можна підрахувати за формулою43:

EL = pt, xpfxL,

де EL — очікувані збитки, пов'язані з активами;

pt — ймовірність виникнення інциденту;

Pf — ймовірність помилки засобу контролю;

L — підсумкові збитки.

Наприклад, якщо ймовірність виникнення пожежі (pt) в комп'ютерній кімнаті корпорації становить 0,001, ймовірність невиявлення вогню засобами контролю (рЛ — 0,1, а збитки L, що виникнуть, дорівнюватимуть 4 млн грн, щорічні очікувані збитки EL становитимуть 400 грн:

EL = 0,001 х 0,1 х 4 000 000. Ризик, звідси, становитиме 400 грн.

Показник цілісності даних, який аудитор використовує протягом перевірки, залежить від цілей аудиту та від характеру даних, на яких він зосереджений. Зазвичай, аудитора найбільше турбує міра, на яку система припускає виникнення помилки. Увага зовнішнього аудитора прикута до того, чи є суттєві помилки, які стосуються грошових коштів, у фінансових документах. Показником цілісності даних буде розмір грошової помилки, яка, за оцінкою зовнішнього аудитора, наявна в бухгалтерському обліку як результат слабкості внутрішніх процедур. Внутрішній аудитор також зазвичай приділяє головну увагу грошовим помилкам, які вже могли виникнути або можуть виникнути у майбутньому через певний час. Крім того, вони мають турбуватися про існування, можливий розмір і можливе число кількісних помилок, однак настільки, наскільки вони пов'язані з грошовими помилками в бухгалтерському обліку.

Конфіденційність інформації забезпечується засобами, які Р. Вебер називає засобами контролю перетину границь (boundary controls). Ці засоби забезпечують інтерфейс між потенційним користувачем системи т власне інформаційною системою. Часто використовуються для цього firewall-комп'ютери, їх визначення можна знайти в Міжнародних стандартах аудиту. Firewall — це комбінація технічних засобів і програмного забезпечення, яке захищає глобальну, локальну мережу або персональний комп'ютер від несанкціонованого доступу через Інтернет і від введення несанкціонованого або шкідливого програмного забезпечення даних або іншого матеріалу в електронній формі.

6.3.Засоби і методи захисту інформаційних систем.

Для забезпечення наведених вимог до безпечної інформаційної системи використовують такі засоби захисту.

Підзвітність (протоколювання). Мета підзвітності — у кожний момент часу знати, хто працює в системі і що він робить. У безпечній системі обов'язково мають фіксуватися всі події, що стосуються безпеки. До таких подій належать: вхід у систему (успішний або ні); вихід із системи; звернення до віддаленої системи; операції з файлами (відкриття, закриття, перейменування, знищення); зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня надійності користувача тощо). Ведення протоколів має бути обов'язково доповнене аудитом, тобто аналізом реєстраційної інформації.

До ключових засобів підзвітності належать ідентифікація і аутентифікація. Ідентифікація дає змогу впізнати користувача системи (і визначити, чи користувався він системою раніше). Ідентифікація — це засоби, за допомогою яких користувач надає системі інформацію про себе.

Аутентифікація — це процес достовірної перевірки відповідності когось чи чогось. Вона підтверджує, ким є користувач, а також його права в системі. Іншими словами, аутентифікація — підтвердження правильності ідентифікації. Можливі два види віддаленої аутентифікації: коли комп'ютер аутентифікує інший комп'ютер; коли комп'ютер виконує якісь операції для користувача, якщо той передасть пароль.

Є три основні підходи до аутентифікації:

  1.  використання для аутентифікації чогось, що знає користувач (пароль, ідентифікаційний номер, криптографічний ключ). Цей спосіб аутентифікації є найдешевшим, найпростішим у реалізації і досить надійним. Небезпеки, пов'язані з цим способом аутентифікації — можливість втрати (забув пароль) або перехоплення інформації;
  2.  використання для аутентифікації чогось, що має ко
    ристувач, — токен
    (token — електронний пристрій, який в процесі аутентифікації засвідчує особу власника). Цей спосіб дорожчий, ніж перший. Токен легко загубити або викрасти, проте важко скопіювати або підробити;

• використання для аутентифікації того, ким є користувач — біометрія. Цей спосіб аутентифікації поки що не дуже поширений, але він є найбільш перспективним. Біометрія є найдорожчим з трьох перерахованих способів аутентифікації, але вона позбавлена недоліків перших двох способів (частину тіла, за якою ідентифікують користувача, втратити набагато важче, ніж забути пароль або загубити токен).

Перераховані способи аутентифікації майже завжди використовують не в чистому вигляді, а в комбінації по два або по три (наприклад, пароль і токен).

Ідентифікація й аутентифікация — перший і найважливіший програмно-технічний рубіж інформаційної безпеки. Якщо не є проблемою одержати доступ до системи під будь-яким ім'ям, то інші механізми безпеки, наприклад, керування доступом, втрачають зміст. Очевидно, що без ідентифікації користувачів неможливе протоколювання їхніх дій (тобто втрачають сенс підзвітність і аудит). Близьким до аутентифікації є поняття авторизації користувача системи. Авторизацією називають процес визначення прав користувача у системі (знову ж таки, на підставі ідентифікації та аутентифікації цього користувача).

У зв'язку з перерахованими причинами перевірці істинності має надаватися першочергове значення. Є ціла серія публікацій урядових відомств різних країн з роз'ясненням питань аутентификації і, зокрема, проблем, пов'язаних із паролями. Наприклад, декларується, що користувачу має бути дозволено змінювати свій пароль, паролі не мають залишатися незмінними тривалий час, паролі, як правило, мають бути згенерованими комп'ютером (а не обраними "вручну"), а користувачу варто надавати деяку реєстраційну інформацію (дата і час останнього входу в систему тощо).

Шифрування — процес, в результаті якого інформація змінюється таким чином, що може бути розпізнаною тільки відповідними особами. Шифрування використовують, щоб захистити інформацію від несанкціонованого перегляду та використання, особливо під час передачі даних або коли вона зберігається на переносному магнітному носієві. Шифрування, як правило, базується на ключах, без яких неможливо розшифрувати інформацію.

Надійність алгоритмів шифрування характеризує такий показник, як кількість ресурсів, необхідна для того, щоб "зламати" зашифроване послання. Найчастіше цей параметр показує час, необхідний для зламу послання, зашифрованого певним алгоритмом, якщо для зламу використовується метод простого перебору. Потрібно зазначити, що цей параметр є не досить об'єктивним через те, що сучасні хакери використовують інші, більш складні методи для "зламу".

Сучасне шифрування базується на використанні спеціального математичного апарата і так званих односторонніх перетворень. Зараз найдосконалішою і найпоширенішою системою шифрування є шифрування з відкритим ключем (Publik Key Encryption РКЕ).

Для сучасних криптографічних систем захисту інформації сформульовані такі загальноприйняті вимоги:

  1.  зашифроване повідомлення має піддаватися читанню
    тільки за наявності ключа;
  2.  число операцій, необхідних для визначення використаного ключа шифрування за фрагментом шифрованого
    повідомлення і відповідного йому відкритого тексту, має
    бути не менше загального числа можливих ключів;
  3.  число операцій, необхідних для розшифровування
    інформації шляхом перебирання різноманітних ключів,

повинне мати строгу нижню оцінку і виходити за межі можливостей сучасних комп'ютерів (з урахуванням можливості використання розподілених обчислень);

  1.  знання алгоритму шифрування не має впливати на
    надійність захисту;
  2.  незначна зміна ключа має приводити до істотної зміни
    вигляду зашифрованого повідомлення навіть при використанні того самого ключа;
  3.  структурні елементи алгоритму шифрування мають
    бути незмінними;
  4.  додаткові біти, що вводяться в повідомлення в про
    цесі шифрування, мають бути повністю і надійно сховані в
    шифрованому тексті;
  5.  довжина шифрованого тексту має дорівнювати довжині вихідного тексту;
  6.  не має бути простих і легко встановлюваних залежностей між ключами, які послідовно використовуються в
    процесі шифрування;
  7.  ключ будь-який з можливих, має забезпечувати на
    дійний захист інформації (не має бути слабких ключів);
  8.  алгоритм має допускати як програмну, так і апарат
    ну реалізацію, при цьому зміна довжини ключа не повинна вести до якісного погіршення алгоритму шифрування.

Власне, шифрування є настільки потужним засобом забезпечення конфіденційності, що органи влади намагаються регулювати його законодавчо. Яскравим прикладом цього є факт, що національне бюро стандартів СІЛА ще у 1971 р. розробило стандарт шифрування DES (Data Encryption Standard), який тривалий час був стандартом у шифруванні інформації у США. За цим стандартом алгоритм шифрування DES класифікується як зброя, а експорт його за межі Сполучених Штатів карається як карний злочин.

Найбільш поширеним способом тестування конфіденційності інформації в системі є тестовий злом системи. При цьому аудитор або фахівець з безпеки намагаються будь-яким способом отримати неавторизований доступ або розшифрувати зашифровані дані. Це може бути метод підбору паролю або елементи соціальної інженерії, які дають змогу довідатися пароль від легітимних користувачів інформаційної системи. Залежно від складності отримання неавторизованого доступу до інформації і робиться висновок про рівень забезпечення конфіденційності інформації у системі.

Інформаційна система, як і будь-яка інша, не може розвиватися замкнено, вона має взаємодіяти із зовнішнім середовищем. Взаємодію між суб'єктами в полі інформаційної безпеки підприємства можна представити таким чином (рис. 6.3).

Головним суб'єктом у цій сфері є, безумовно, підприємство. Воно має у своєму розпорядженні технологічну інформацію про процес виробництва (якщо це виробниче підприємство), дані про ринки збуту, контакти з постачальниками. Інтерес, що виявляється до фірми, прямо пропорційний ступеню її процвітання. У тих сферах промисловості і комерції, де одержують високі доходи і конкуренція особливо сильна, з'являються мотиви для порушення інформаційної безпеки підприємства.

Зловмисники, які з певних причин хочуть порушити безпеку інформаційної системи підприємства чи організації, можуть скористатися послугами так званих хакерів. У хакерів є свої Інтернет-конференції, об'єднання й групи (фактично банди).

Щоб зрозуміти ступінь загрози, яку становлять ха-керські групи, потрібно розуміти їх мотивацію. М. Кілджер розробив класифікацію мотивацій хакерів, яку назвав МЕЕСЕ: гроші, самоствердження, справа, розвага, входження у соціальні групи, статус (Money, Ego, Entertainment, Cause, Entrance to social groups, and Status).

Оскільки деякі хакери бачать у своїй діяльності джерело доходу, то їх легко може найняти зацікавлена особа (несумлінний конкурент, злочинець, уряд іноземної держави) для атаки на певний об'єкт. Крім того, веб-сайт підприємства або організації може бути атакований і без жодного замовлення, якщо його злом може принести характеру самоствердження або популярність. Саме тому сайти багатьох державних організацій США, таких як Міністерство оборони, ФБР, НАСА, були атаковані й зламані багато разів і надалі, мабуть, теж не зможуть уникнути ха-керських атак.

Крім прямої шкоди, якої завдають хакери, зламуючи інформаційні системи, порушуючи їх роботу і виводячи з ладу або викрадаючи й знищуючи інформацію, є непряма погроза, пов'язана з тим, що хакери виявляють слабкі місця (security holes) операційних систем і програмних продуктів і роблять їх надбанням громадськості. Крім того, хакерські групи розробляють спеціальне програмне забезпечення для злому, створюють комп'ютерні віруси й конструктори вірусів, які дають змогу навіть посереднім програмістам створювати нові комп'ютерні віруси.

Однак у нашій країні такий спосіб нечесної конкурентної боротьби поки що непоширений. Причина — у низькому рівні комп'ютерної грамотності населення України та незначному використанні Інтернету в бізнесі. За даними "The World Factbook 2002", в Україні на 2002 р. Інтерне-том користувалось 750 тис. людей, що становить лише 1,5 % населення (в той час, як у країнах "Великої сімки" Інтер-нет використовують майже 50 % жителів). За абсолютною кількістю користувачів глобальних інформаційних мереж Україна стоїть поряд зі Словакією та Словенією, де чисельність населення в 10 і 20 разів менша.

Як відповідь спільнотам хакерів, які обмінюються знаннями з написання вірусів та методами зламу нових версій програмних продуктів і операційних систем, виникають Інтернет-спільноти фахівців з інформаційної безпеки.

Рис.6.3. Схема взаємодії суб’єктів у полі інформаційної безпеки підприємства

Такі спільноти розробляють стандарти безпеки інформаційної безпеки для найрізноманітніших інформаційних систем, які вільно доступні в Інтернеті. Крім того, подібні спільноти пропонують послуги із сертифікації програмних продуктів на відповідність власним стандартам безпеки.

Яскравий представник подібних спільнот — громадська організація "Центр безпеки Інтернету" (Center for the Internet Security CIS, www.cisecurity.org). Його місія полягає в тому, щоб допомогти організаціям зменшити ризик банкрутства бізнесу та електронної комерції через неефективні засоби управління безпекою. До складу організації входить велика кількість спеціалістів з інформаційної безпеки, приватних фірм, що працюють в галузі інформаційної безпеки, державні установи, аудитори.

Основними напрямками діяльності CIS є сертифікація безпечності програмного забезпечення, а також розробка методик дослідження безпечності інформаційних систем, що передбачає розробку методичних рекомендацій у вигляді так званих "еталонних тестів" (benchmarks) та розробку програмного забезпечення (scoring tools), яке автоматично оцінює рівень захищеності системи, порівнює його з еталонним тестом і надає рекомендації з поліпшення безпеки системи. Еталонні тести розробляються шляхом погодження з усіма членами CIS, і саме тому є, на думку розробників, прийнятним компромісом між захищеністю інформаційної системи і зручністю користувача при роботі з цією системою.

Якщо підприємство, яке було атаковане, хоче посилити свій захист, то може звернутися до державних установ або до приватних фірм, які забезпечують захист інформаційних систем. Крім того, більшість аудиторських компаній надає послуги з дослідження надійності інформаційної системи підприємства. Проте, як свідчить опитування з комп'ютерних злочинів і безпеки, проведене ФБР та Інститутом комп'ютерної безпеки у 2004 p., більшість фірм намагаються не передавати функції, пов'язані із забезпеченням комп'ютерної безпеки, третім особам.

Держава представлена в полі інформаційної безпеки двома типами організацій. Організації першого типу — це науково-дослідні установи, які займаються теоретичними і практичними аспектами інформаційної безпеки в організаціях як приватного, так і державного секторів. Результатом діяльності подібних організацій є технічні документи — стандарти, рекомендації, довідники, посібники тощо. На державні установи другого типу покладено завдання стежити за дотриманням законодавства у сфері інформаційної безпеки. Зазвичай цим займаються спеціальні підрозділи силових відомств — міністерств внутрішніх справ, спеціальних служб тощо.

У США провідними державними установами другого типу безпеки інформаційних систем є Агентство з національної безпеки (National Security AgencyNSA), Міністерство оборони (Department of Defence DAD) та Федеральне бюро розслідувань (Federal Bureau of Investigation FBI). Методичними ж питаннями захисту інформації в СІЛА займається Національний інститут стандартів і технологій (National Institute of Standards and Technology NIST). NIST — це технічна адміністрація Міністерства торгівлі США (Commerce Department's Technology Administration). Інститут був заснований у 1901 p. як перша національна лабораторія з фізичних досліджень. За роки роботи співробітники Інституту зробили чималий внесок у розвиток різних науки і техніки. З 1980 p. NIST займається проблемами безпеки інформації. За 25 років ним було видано більше двохсот посібників і технічних рекомендацій з найрізноманітниших аспектів безпеки інформаційних систем50. Найвідомішим з документів Національного інституту стандартів і технологій є, безумовно, документ SP 800-12 "Введення в комп'ютерну безпеку: довідник NIST"(An. Introduction to Computer Security: The NIST Handbook), виданий у жовтні 1995 p.

"Європейською відповіддю" NIST є Британська організація зі стандартів (British Standards Institution BSI). Вона була створена у 1902 р. як урядова організація, до якої входили переважно представники промисловості й уряду Великої Британії. Протягом перших 10 років роботи було розроблено більше шістдесяти стандартів, переважно на продукцію важкої промисловості. Протягом наступних років BSI розробляла стандарти у найрізноманітніших галузях — від стандартів на розмір паперу (А1, А2 та ін.) до стандартів на системи управління компанією. Найвідомішим продуктом BSI у галузі інформаційної безпеки є стандарт з управління інформаційною безпекою ISO 17799 / BS7799, опублікований Міжнародною організацією зі стандартизації (International Organization for Standardisation ISO) у грудні 2000 p.51

В Україні питаннями інформаційної безпеки займається Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (ДСТСЗІ), створений указом Президента України від 6 жовтня 2000 р. № 112О/2ООО. З одного боку, ДСТСЗІ СБУ виконує науково-методичні функції:

  1.  бере участь у формуванні та реалізації державної політики у сфері захисту державних інформаційних ресурсів
    у мережах передачі даних, криптографічного та технічного захисту інформації, забезпечує функціонування державної системи урядового зв'язку;
  2.  формує загальну стратегію і визначає пріоритетні
    напрями діяльності у сфері захисту державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації, а також розвитку
    спеціальних інформаційно-телекомунікаційних систем;
  3.  розробляє і вживає заходи щодо розвитку систем
    криптографічного та технічного захисту інформації, здійснює державний контроль за їх функціонуванням;
  4.  визначає порядок та вимоги щодо захисту інформації,
    необхідність охорони якої визначено законодавством, у
    процесі її оброблення, збирання, зберігання та передачі
    мережами передачі даних, у тому числі загального користування;
  5.  установлює порядок і вимоги щодо використання
    мереж передачі даних установам, які обробляють, збирають, зберігають та передають інформацію, що є власністю
    держави;
  6.  вносить пропозиції щодо стандартизації у сфері криптографічного та технічного захисту інформації, організовує розроблення державних стандартів та забезпечує у встановленому порядку введення їх у дію;
  7.  забезпечує формування та супроводження моделей
    загроз безпеці інформації.

З іншого боку, на Департамент покладені організаційні, координаційні й контрольно-наглядові функції:

• організація та координація проведення науково-дослідних і дослідно-конструкторських робіт з питань, що
належать до його компетенції, та сприяння впровадженню
їх результатів;

  1.  організація і здійснення науково-методичного керівництва підготовкою кадрів у сфері криптографічного та
    технічного захисту інформації;
  2.  в межах своєї компетенції виконання контрольно -
    наглядових функцій щодо захисту інформації, необхідність
    охорони якої визначено законодавством;
  3.  координація діяльності у сфері криптографічного та
    технічного захисту інформації;
  4.  видання відповідно до законодавства ліцензії на право провадження окремих видів господарської діяльності у
    сфері криптографічного та технічного захисту інформації
    та здійснення контролю за виконанням ліцензійних умов;
  5.  координація в межах своєї компетенції діяльності
    щодо забезпечення протидії технічним розвідкам, оцінка
    стану та ефективності цієї протидії;
  6.  здійснення державного контролю за станом захисту
    державних інформаційних ресурсів в мережах передачі
    даних, виконанням вимог нормативно-правових актів у
    сфері криптографічного та технічного захисту інформації,
    необхідність охорони якої визначено законодавством;
  7.  здійснення відповідно до законодавства функції з управління об'єктами державної власності, утворення, реорганізація та ліквідація підприємства, установи та організації;
  8.  здійснення контролю за додержанням вимог безпеки
    у процесі розроблення, виробництва, розповсюдження,
    експлуатації, зберігання, використання і знищення криптографічних систем та засобів криптографічного захисту
    інформації й обладнання спеціального зв'язку.

Таким чином, ДСТСЗІ СБУ суміщає в собі державні організації першого і другого роду. У цьому є певні недоліки, оскільки, на нашу думку, розробка наукових і методологічних засад забезпечення інформаційної безпеки краще могла б бути виконана науково-дослідними установами, як це прийнято в усьому світі, аніж департаментом державної силової служби. Крім того, події останнього часу — зокрема, наявність "тіньового" серверу, що коригував інформацію, яка надходила до Центральної виборчої комісії під час обробки результатів голосування другого туру виборів Президента України 21 листопада 2004 p., і роботі якого ДСТСЗІ СБУ та інші служби ніяк не завадили, дещо підірвали довіру фахівців до ефективності роботи таких державних установ.

Питанням законодавчого захисту від подібних загроз та безпеки даних в інформаційних комп'ютерних технологіях в розвинутих країнах приділяється велика увага. Так, комітет Ради Європи з проблем злочинності у 1990 р. підготував рекомендації з метою визначення правопорушень, пов'язаних з комп'ютерами, і вніс їх до "мінімального" (обов'язкового) та "необов'язкового" списків, рекомендованих всім європейським країнам до внесення в законодавство. В опублікованій в 1983 р. "Помаранчевій книзі" Міністерства оборони США, вперше були визначені основні поняття стосовно надійності програмних інформаційних систем.

Питання безпеки інформаційних систем у Європі регулюються Міжнародним стандартом ISO 17799/BS7799, прийнятим у грудні 2000 року. У Сполучених Штатах Америки головним документом, що регулює питання інформаційної безпеки, є Закон Сарбейнса - Окслі 2002 (Sarbanes-Oxley Act of 2002 — SOX 2002).

Засади інформаційної безпеки в Україні визначають такі Закони України: "Про інформацію", "Про захист інформації в автоматизованих системах", "Про авторське право та суміжні права", "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг". Крім того, діють "Концепція технічного захисту інформації в Україні", яка визначає основні загрози безпеці інформації, стан її технічного захисту, його систему та основні напрями державної політики у цій сфері, та "Положення про технічний захист інформації", яке визначає порядок роботи і повноваження органів, що займаються діяльністю з технічного захисту інформації.

6.4.Відповідальність за незаконність використання інформаційних систем.

Розділ XVI Кримінального кодексу України передбачає покарання у вигляді штрафів, обмеження волі і позбавлення волі за такі дії:

  1.  незаконне втручання в роботу автоматизованих електронно-обчислювальних машин, їх систем чи комп'ютерних
    мереж, що призвело до перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, а також
    розповсюдження комп'ютерного вірусу шляхом застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп'ютерні мережі і здатних спричинити перекручення або знищення комп'ютерної інформації чи носіїв такої інформації,
    а так само незаконне втручання в роботу мереж електрозв'язку, що призвело до знищення, перекручення, блокування інформації або до порушення встановленого поряд
    ку її маршрутизації;
  2.  викрадення, привласнення, вимагання комп'ютерної
    інформації або заволодіння нею шляхом шахрайства чи
    зловживання службовою особою своїм службовим становищем;
  3.  порушення правил експлуатації автоматизованих
    електронно-обчислювальних машин, їх систем чи комп'ютерних мереж особою, яка відповідає за їх експлуатацію,

якщо це спричинило викрадення, перекручення чи знищення комп'ютерної інформації, засобів її захисту, або незаконне копіювання комп'ютерної інформації, або істотне порушення роботи таких машин, їх систем чи комп'ютерних мереж.

Конкретні аспекти безпеки інформаційних систем регулюються наказами Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

В Україні також діють Державні стандарти у сфері захисту інформації: ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Основні положення", ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт", ДСТУ 3396.1-97 "Захист інформації. Технічний захист інформації. Терміни та визначення".

Незважаючи на те, що в Україні прийнята і діє низка нормативних актів, проблема захисту і безпеки даних при застосуванні комп'ютерних програм бухгалтерського обліку на підприємствах досі не вирішена. Цими нормативними актами не передбачена обов'язкова сертифікація програмного забезпечення для ведення бухгалтерського обліку на підприємствах. Відповідного стандарту з бухгалтерського обліку також немає. Винятком є регулювання Національним банком України використання банками та їх клієнтами розрахункових систем "клієнт — банк". Базові принципи та процедура використання таких програмних систем визначені Інструкцією НБУ № 756, якою встановлюється обов'язкова сертифікація програмних продуктів Національним банком. Для того, щоб отримати сертифікат (дозвіл) НБУ, фірма-розробник має передбачити в своєму програмному продукті виконання таких основних функцій, як передача повідомлень між клієнтом та банком у зашифрованому вигляді за допомогою сертифікованих засобів захисту; автоматичне ведення протоколів роботи; автоматична архівація протоколів роботи наприкінці дня. У галузі захисту і безпеки даних досвід комп'ютеризації банківської системи може бути корисний для розробки стандартів з бухгалтерського програмного забезпечення в Україні.

Таким чином, можна зробити висновок, що в Україні мають місце слабкий розвиток хакерських груп і громадських організацій професіоналів з комп'ютерної безпеки на тлі невисокої комп'ютерної грамотності населення, розвивається ринок послуг з інформаційної безпеки та є достатня нормативна база з питань інформаційної безпеки та державна структура, яка займається цими питаннями. Отже, сукупність зовнішніх факторів сприяє дотриманню інформаційної безпеки окремого підприємства (правильніше, не сприяє його порушенню) і знижує ризик виникнення викривлень в обліку через несприятливі зовнішні впливи на інформаційну систему підприємства.

Питання для контролю:

                        

  1.  Загрози інформаційній безпеці підприємства.
  2.  Приклади появи можливих помилок в обліковій інформації при застосуванні КІСП
  3.  Етапи убезпечення інформаційної системи.
  4.  Особливості процесом управління КІСП
  5.  Фізичні і логічні активи системи
  6.  Засоби підзвітності.
  7.  Ідентифікація та аутентифікація.
  8.  Вимоги до сучасних криптографічних систем захисту інформації
  9.  Засоби і методи захисту інформаційних систем.
  10.  Відповідальність за незаконність використання інформаційних систем.

Використані джерела

  1.  Агеева И.Ю., Халевинская Е.Д. Финансовый анализ в аудиторской деятельности / Институт мировой экономики и информатики.
  2.  Алдашев АА., Медведев В.И., Сорбанов У.К. Психологические механизмы банковского менеджмента. М.:ПЕР СЭ, 2001.
  3.  Андреев В Д. Ревизия и контроль в потребительской кооперации. М.: Экономика, 1987. — 334 с.
  4.  Андрианов В.И., Бородин ВА., Соколов А.В. "Шпионские штучки" и устройства для защиты объектов и информации: Справ, пособ. СПб.: Лань, 1996. — 272 с.
  5.  Аудит: Конспект лекцій / Укл.: О.А. Петрик К.: МНТУ, 1995. — 164 с.
  6.  Бардаш СВ. Інвентаризація: теорія, практика, комп'ютеризація. — Житомир: ЖІТІ, 1999. — 372 с.
  7.  Баричев С. Криптография без секретов // http://alexeenko. prima. susu. ac.ru.
  8.  Барр Ст. Что следует сделать SEC, чтобы прекратить манипулирование прибылью // http://consulting.ru/econs_wp_3495.

9. Беликова И. Аудит в условиях электронной обработки данных // Аудитор. — 1996. — № 9. — С. 39.

  1.  Белуха Н.Т. Хозяйственный учет и его роль в АСУ. М.: Финансы, 1972. — 72 с.
  2.  Бендиков МА. Экономическая безопасность промышленного предприятия в условиях кризисного развития //Менеджмент в России и за рубежом. — 2000. — № 2.
  3.  Бородина О А. Факторы и методы оценки экономической безопасности предприятия: Автореф. Магистерской выпускной работы. Донецк: ДНТУ, 2002 // http:// masters.donntu.edu.ua/2002/fem/borodina/diss.htm.
  4.  Буза В., СиницынД. "Большая пятерка" проворонила половину банкротств // Коммерсант. — 2002. — 12 июля. — № 120 (2489).
  5.  Бутинець ТА. Документування господарських операцій: теорія, методологія, комп'ютеризація. — Житомир: ЖІТІ, 1999. — 412 с
  6.  Бутинець Ф.Ф. Аудит і ревізія господарської діяльності. — Житомир: ЖІТІ, 2001. — 416 с
  7.  Бутинець Ф.Ф. Аудит: Підручник. — 2-ге вид., перероб. та доп. — Житомир: ПП "Рута", 2002. — 672 с
  8.  Бутинець Ф.Ф., Бардаш СВ., Малюга Н.М., Петренко Н.І. Контроль і ревізія: Підручник. —2-ге вид., доп. і перероб. — Житомир: ЖІТІ, 2000. — 512 с
  9.  Бутинець Ф.Ф., Малюга Н.М. Контроль за якістю роботи аудиторів // Аудит як важливий інструмент ринкової економіки: 36. тез та текстів виступів на наук.-практ. конференції з аудиту. — Житомир: ЖІТІ, 2000. — 180 с —С. 21—39.
  10.  Бутинець Ф.Ф., Малюга Н.М., Петренко Н.І. Аудит: стан і тенденції розвитку в Україні та світі: Моногр. / За ред. проф. Ф.Ф. Бутинця. — Житомир: ЖДТУ, 2004. — 564 с
  11.  Бутынец Ф.Ф. Контроль и ревизия в сельскохозяйственных предприятиях. К.: Вища школа, 1979.      272 с.
  12.  Гавриленко И. Силиконовая "малина". Компьютерная преступность глазами Интерпола // Бизнес. — 1997. № 1. — С. 41.
  13.  Галатенко В. Информационная безопасность: обзор основных положений // Компьютерное обозрение. — 1996. — № 33 (57). — С. 16—26.
  14.  Гиляровская Л.Т., Стольная Н.В. Экономический анализ в аудировании деятельности компаний США //Бухгалтерский учет. — 1992. — № 9. — С. 8—11.
  15.  Голъдберг ЕЛ. Автоматизация аудиторской деятельности в программе "Помощник аудитора" (принципы построения компьютерных аудиторских систем, концепция построения компьютерной аудиторской системы "помощник аудитора", методика аудита) // Аудит и финансовый анализ. — 2000. — № 3. — С. 173.
  16.  Давидов Г.М. Аудит: Навч. посіб. — 2-ге вид., перероб. і доп. Тво "Знання", КОО, 2001. — 363 с.
  17.  Данилевский Ю.А. Общий аудит в вопросах и ответах. М.: Бух. учет, 1995. —111 с.
  18.  Делвиз ФЛ., Дженик Г.Р., О'Рейли В.М., Хирш Б.М. Аудит Монтгомери / Пер. с англ. под. ред. Соколова Л.В. М.: Аудит, ЮНИТИ, 1997. — 592 с.
  19.  Дерій ВА., КізимаАЛ. Аудит: Курс лекцій. — Тернопіль: Джура, 2002. — 86 с.
  20.  Додж Р. Краткое руководство по стандартам и нормам аудита: Пер. с англ. М.: Финансы и статистика:ЮНИТИ, 1992. — 240 с.
  21.  Дракер П. Следующая информационная революция // www.consulting.ru/main/soft/texts/m2/ 013_revolution.htm.
  22.  Евдокимов Ф.И., Бородина О А. Критерии оценки
    уровня экономической безопасности предприятия
    // Материалы международной научно-практической конференции: проблемы обеспечения экономической безопасности.
    Донецк, ДонНТУ. — 2001. — 23—24 ноября.
  23.  ЗавадсъкийЙ.С. Менеджмент: Management. — Т. 1. — К.: Укр.-фін. ін.-т менеджменту і бізнесу, 1997. — 543 с.
  24.  Завгородній В.П. Автоматизація бухгалтерського обліку, контролю, аналізу та аудиту. К.: А.С.К., 1998. — 768 с.
  25.  Закон України "Про аудиторську діяльність". Із змінами і доповненнями, внесеними Законами України від 14 березня 1995 р. № 81/95-ВР, від 20 лютого 1996 року № 54/96-ВР. — CD "Ліга-практик". — 2001. — Квітень.
  26.  Закон України "Про бухгалтерський облік і фінансову звітність". Національні Положення (стандарти) бухгалтерського обліку / Укл.: Л.Л. Горецька — Житомир:ЖІТІ, 2000. — 112 є.
  27.  Закон України "Про електронний цифровий підпис" від     22     травня     2003     р.     №     852-IV     //http://www.archives.gov.ua/Law-base/Laws/index.php72003-852-4.
  28.  Закон України "Про електронні документи та електронний документообіг" від 22 травня 2003 p. № 851-IV //
    http://www.archives.gov.ua/Law-base/Laws/index.php72003-851-4.
  29.  Звіт на дискеті: задум прогресивний, але некондиційний // Галицькі контракти. — 1999. — № 9. —С 30—31.
  30.  Ивашкевич В.Б. Организация бухгалтерского учета с применением ЭВМ. М.: Финансы и статистика, 1988. —176 с.
  31.  Ивашкевич В.Б. Этика аудитора // Аудиторские
    ведомости.
    — 2005. — № 2.
  32.  Игнатущенко Н., Беляев А., Изотова Е. Аналитические процедуры. Оценка результатов аудиторской проверки предприятия // Аудитор. — 1998. — № 11. — С. 13—19.
  33.  Івахненков С.В. Інформаційні технології в організації бухгалтерського обліку та аудиту: Навч. посіб. —2-ге вид., випр. — К.: Знання-Прес, 2004. — 348 с.
  34.  Івахненков С.В. Інформаційні технології в організації бухгалтерського обліку: історія, теорія, перспективи. — Житомир: АСА, 2001. — 416 о.
  35.  Інструкція № 7 "Про безготівкові розрахунки в господарському обороті України". — К.: Відділ вироб. вид-ва НБУ, 1996. — 112 с.
  36.   Інтернет у 50 країнах світу //http://www.nbuv.gov.ua/ polit/02ciaint. htm.
  37.  Камышанов П.И. Знакомьтесь: аудит (организация и методика проверок). М.: ИВЦ "Маркетинг", 1994.
  38.  Карауш М.И. Ревизия в отраслях народного хозяйства. М.: Финансы и статистика, 1984. — 272 с.
  39.  Кирейцев Г.Г. Функции учета в механизме управления сельско-хозяйственным производством. К.: УСХА, 1992. — 240 с.

49.Коноваленко В. Покушение на бухгалтерию (как защитить компьютеры бухгалтерии от мошенников) // Бизнес. — 1997. — № 1. — С. 40.

50.Краева ТА. Методология и организация учета в условиях автоматизации. М.: Финансы и статистика, 1992. —160 с.

51.Крамаровский Л.М. Ревизия и контроль. М.:Финансы, 1970. — 311 с.

  1.  Криницкий Р.И. Контроль и ревизия в условиях автоматизации бухгалтерского учета. М.: Финансы и статистика, 1990. — 118 с.
  2.  Кулаковсъка Л.П. Основи аудиту. К: Каравела; Л.: Новий світ, 2002. — 500 с.
  3.  Лиса О.В. Особливості проведення аудиту в комп'ютерному середовищі // Розвиток науки про бухгалтерський облік: 36. тез та виступів на наук. конф. — 4.1. —Житомир: ЖГИ, 2000. — 252 с.
  4.  Лук'яненко І.Г., Городніченко Ю.О. Сучасні економетричні методи у фінансах: Навч. посіб. — К.: Літера ЛТД, 2002. — 352 с
  5.  Лушкин В А., Поникаров В Д., Ялдин И£.,АчкасовА. Аудит: Учеб. пособ. — Житомир, 1999. — 240 с
  6.  Міжнародні стандарти аудиту, надання впевненості та етики: Видання 2004 року / Пер. з англ. О.В. Селезньова, О.Л. Ольховікової, О.В. Гик, Т.Ц. Шарашидзе, Л.Й. Юрківської, С.О. Кулікова. — К.: ТОВ "ІАМЦ АУ "СТАТУС", 2004. — 1028 с
  7.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Положення про державну експертизу у сфері криптографічного захисту інформації" від 25 грудня 2000 р. № 62 //http:/www.gdo.kiev.ua/files/2001/03/89.php.
  8.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави" від 22жовтня 1999 р. № 45 //http://www.dstszi.gov.ua/P_baza/Nakazs/nakaz45.htm.
  9.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Положення про державну експертизу в сфері технічного захисту інформації" від 29 грудня 1999 р. № 62 //http://www.dstszi.gov.ua/P_baza/Nakazs/nakaz62.htm.
  10.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах"   від   24   грудня   2001   р.   №   76   //http:/www.gdo.kiev.ua/files/2001/03/122.htm.
  11.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Положення про контроль за функціонуванням системи технічного захисту інформації" від 22 грудня 1999 р. № 61 //http://www.dstszi.gov.ua/P_baza/ Nakazs/nakaz61.htm.
  12.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави" від 22 жовтня 1999 р. № 45 // Офіційний вісник України. — 1999. — № 48 (17.12.99). — Ст. 2383.

64. Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Положення про державну експертизу в сфері технічного захисту інформації" від 29 грудня 1999 року № 62 // Офіційний вісник України. — 2000. —№ 4 (11.02.2000). — Ст. 133.

65. Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах" від 24 грудня 2001 р. № 76 // Офіційний вісник України. — 2002. — № 3 (01.02.2002). — Ст. 122.

  1.  Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Про затвердження Положення про контроль за функціонуванням системи технічного захисту інформації" від 22 грудня 1999 р. № 61 // Офіційний вісник України. — 2000. — № 2 (28.01.2000). — Ст. 55.
  2.  Нарибаев К.Н. Организация бухгалтерского учета в США. — М.: Финансы, 1979. — 152 с.
  3.  Нарибаев К.Н. Современная организация бухгалтерского учета в условиях применения вычислительной техники: Дис. д-ра экон. наук. М.: МФИ, 1979. — 347 с.
  4.  Нас пытаются взломать (Краткий обзор программ- взломщиков паролей) //http://www.bezpeka.com.
  5.  О выборе компании для анализа защиты информационной системы //http://www.vit.ru/vit/security/press/press8.html.
  6.  Палий В.Ф., Соколов Я.В. АСУ и проблемы теории бухгалтерского учета: М.: Финансы и статистика, 1981. — 224 с.
  7.  Подольский В.И., Щербакова Н.С., Комиссаров В.Л. Компьютерный аудит: Практ. пособие / Под ред. проф. В.И. Подольского. М.: ЮНИТИ-ДАНА, 2004. — 128 с.
  8.  Попель О.Ю. Аналитические процедуры и их значение в аудите // http://www.audit.ru/articles/articlel2.html.
  9.  Постанова Кабінету Міністрів України "Про затвердження Концепції технічного захисту інформації в Україні" від 8 жовтня 1997 р. № 1126.
  10.  Наказ Державного казначейства України "Про затвердження Інструкції про форми меморіальних ордерів бюджетних установ та порядок їх складання" від 27 липня 2000 р. № 68 / Зареєстрований в Міністерстві Юстиції України 31 серпня 2000 р. за № 570/4791.
  11.  Псалтыра Е. Для чего необходим аудит ИС //http://
    www.optim.ru/comp/2003/3/TMUConsulting/TMUConsulting.asp.
  12.  Пушкар М.С. Тенденції та закономірності розвитку
    бухгалтерського обліку в Україні (теоретико-методологічні
    аспекти): Моногр. — Тернопіль: Екон. думка, 1999. — 424 с
  13.  Работать напряженно или работать эффективно.Организация работы аудитора, //http://consulting.ru/262mgmtl_l.
  14.  Радостовец В.К. Ревизия и контроль в совхозах.
    Алма-Ата: Кайнар, 1967. — 199 с.
  15.  Робертсон Дж. Аудит: Пер. с. англ. М.: KPMG:
    Аудиторская фирма "Контакт",
    1993. — 474 с.
  16.  Романов А.Н., Одинцов Б.Е. Автоматизация аудита.
    М.: ЮНИТИ, 1999. — 336 с.
  17.  Романов А.Н., Одинцов Б.Е. Компьютеризация аудиторской деятельности: Учеб. пособие для вузов. М.:Аудит: ЮНИТИ, 1996. — 270 с.
  18.  Рудницький B.C. Методологія і організація аудиту. —Тернопіль: Екон. думка, 1998. — 191 с.

84.Светин Д. "Заводной" аудит (Обзор аудиторских программ) // Двойная запись. — 2004. — № 8.

  1.  Ситник В.Ф., Писаревсъка ТА., Єрьоміна Н.В.,Краева О.С. Основи інформаційних систем: Навч. посіб. /За ред. В.Ф. Ситника. К.: КНЕУ, 1997. — 252 с.
  2.  Соколов Д.В. Аудит на компьютере // Аудиторские ведомости. — 1998. — № 10. — С. 83.
  3.  Стандарти аудиту та етики. — К.: ТОВ "Парітет-інформ", 2003. — 712 с.
  4.  Станут ли бухгалтеры ненужными благодаря появлению новых технологий? //http://www.consulting.ru/main/soft/texts/m5/059_awebl.htm.
  5.  Указ Президента України "Питання Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України" від 6 жовтня 2000 р.№ 1120/2000 // Офіційний вісник України. — 2000. —№ 41 (27.10.2000). — Ст. 1745.
  6.  Указ Президента України "Про рішення Ради національної безпеки і оборони України від 31 жовтня 2001 р. "Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України" від 6 грудня 2001 р. № 1193/2001 //http://www.crime-research. ru/library/UK AZ. htm.
  7.  Указ Президента України "Про Положення про технічний захист інформації в Україні" від 27 вересня 1999 р. № 1229/99 // Офіційний вісник України. — 1999. — № 39(15.10.99).— Ст. 1934.
  8.  Усач Б.Ф. Аудит. — К: Знання-Прес, 2000. — 222 с
  9.  Усач Б.Ф. Аудит: Навч. посіб. — 2-ге вид. — К.:
    Знання-Прес, 2003. — 223
    с
  10.  Цесельчик Т., Стемпневські Я. Бухгалтерський аудит за допомогою комп'ютера // 36. текстів та тез доповідей III міжнародної наукової конференції "Аудит: міжнародний досвід та національні особливості". — Житомир: ЖДТУ, 2004. — С. 179—184.

95.Чикунова Е. Автоматизация по-аудиторски // www.lexaudit.ru/ras/audit25.htm.

96. Чистов Д.В. Формы и методы представления знаний
в информационных технологиях бухгалтерского учета:

Автореф. ... дис. д-ра экон. наук. М.: Фин. академия при правительстве РФ, 1996. — 32 с.

  1.  Шимків А. Англо-український тлумачний словник економічної лексики. К.: Вид. дім "Києво-Могилянська академія", 2004. — 429 с.
  2.  Экклз Роберт Дж., Герц Роберт X., Киган Э.М.,Филлипс Д. М.Х. Революция в корпоративной отчетности: Как разговаривать с рынком капитала на языке стоимости, а не прибыли / Пер. с англ. Н. Барышниковой. М.: "Олимп Бизнес", 2002. — 400 с.
  3.  Экономическая безопасность предприятия. Объективные причины появления коммерческой тайны //http://Iemoi-www.dvgu.ru/lect/safety/p2b00004.html.

100.Allbritton С. (1998, September 20). Hackers in white hats. The Wichita Eagle, pp. A4, A6.

101.An Introduction To Computer Security: The Nist Handbook //http://www.raptor.com/ lib/hnbk_ptl.ps.

102.Baker   T.   Audit   manual.   —   London:   Nova Communications Ltd., 1981.

103.BodnarCH., Hopwood W.S. Accounting Information Systems. 7th ed. Upper Saddle River, Prentice-Hall,Inc., 1998. — 686 p.

  1.  Boockholdt J.L. Accounting information systems: transaction processing and controls. 4th ed. Chicago:Irwin, 1996. — 896 p.
  2.  Center for Internet Security What are the benchmarks? //http://www. cisecurity.org/bench.html.

106.Chambers A.D. Computer auditing. London: Pitman books ltd, 1981. — 238 p.

107.Champlain J. Auditing information systems: a comprehensive reference guide. — N. Y.: John Wiley&Sons,Inc., 1998. — 422 p.

  1.  Clowes K.W. EDP auditing. Toronto: Holt, Rinehart and Winston of Canada, Limited, 1988. — 590 p.
  2.  Coderre D.G. Computer Assisted Fraud Detection //
    Internal Auditor; Aug2000, Vol. 57 Issue 4, p. 25, 3 p.

110.Computer Crime and Security Survey. 2004 CSI/FBI // http://www.gocsi.eom/http://i.cmpnet.com/gocsi/dbarea/pdfs/fbi/FBI2004.pdf

111.Elliott R.K. The Future of Audits // Journal of Accountancy (September 1994), pp.74—82.

112.Garcia МЛ. Microcomputer Audit Software: Uses and Comparisons by Dresser Industries Internal Audit // EDP Auditor Journal. — 1990. — PP. 65— 71.

113.Glossary     from     Security     Info     //http://
www.securityinfo.com/glossary.html.

114.Green W.H. Econometric Analysis. — 4th ed. — N. J.:Prentice Hall, 2000. — 1004 p.

  1.  Hacker groups, who are they? Are they a serious threat? // SANS Cyber Warrior Certification. Practical Assignment. October 2004 // http://www.giac.org/practical/ GC YW/Mark_Hayes_GC YW. pdf.
  2.  Hall R.E. Stochastic Implications of the Life Cycle-
    Permanent Income Hypothesis: Theory and Evidence // The Journal
    of Political Economy — 1978. — Vol. 86(6). — P. 971—987.
  3.  Handbook of International Auditing, Assurance, and
    Ethics Pronouncements.
    2005 Edition //www.ifac.org.
  4.  Honeynet Project, The. Know Your Enemy, Learning
    About Security Threats. Second Edition.
    Boston, MA:
    Addison Wesely, May
    1, 2004.
  5.  ISO 17799 — The Information Security Standard //
    http://www.standardsdirect.org/isol7799.htm.
  6.  Jenkins В., Cooke P., Quest P. An audit approach to
    computers.
    London: Coopers&Lybrand Deloitte (United
    Kingdom)
    — 1992. — 572 p.
  7.  La revision assistne par ordinateur. RF la Revue
    Fiduciare Camptable. SupplHment au m.
    239, NrG., Paris,
    Avril,
    1998.
  8.  Manson S., McCartney Sc, Sherer M. Audit Auto
    mation: Improving Quality or Keeping up Appearances?
    //
    Current issues in auditing. — 3 rd ed. London: Paul
    Chapman Publishing Ltd,
    1997. — 342 p.

123. Me Williams Brian. Newsbytes. December 2001 //
http://www.computeruser.com/news/01/12/ll/news4.html.

124. Nigrini M.J. I've got your number! //http://
www.aicpa.org/pubs/jofa/mayl999/nigrini.htm.

125. NIST General information //http://www.nist.gov/
public_affairs/general2.htm.

  1.  Defliese P.L., Jaenicke H.R., V. m. O'reilly, M. b.
    Hirsch,  J.  Wiley  
    &  sons.  New  York,  Montgomery's
    AUDITING. Revised college version, 11
    th ed., 912 pages,
    1990.
  2.  Pickett Sp., Vinten G. The internal auditing hand
    book.
    Chichester: Wiley&Sons, 1997. — 636 p.
  3.  Potter DA. Automated Accounting Systems and
    Procedures Handbook.
    — N. Y.: John Wiley & Sons, 1991. —
    562
    p.
  4.  Rathe A.W. Management controls in business, in
    Malcolm, D.G., and Rowe, A.J. (Eds.), Management Control
    Systems. Wiley,
    1960.
  5.  Robertson J.C. Auditing. Chicago: Irwin, 1996. —
    983
    p.
  6.  Sarbanes-Oxley Act of 2002 //http://www.pcaobus.org/
    About_Us/Sarbanes_Oxley_Act_of_2002
    . pdf .

132. Schindler       D.J.,        &       Halpern        Т.Н.
WWW.computer.crime: E-crime and what to do about it. Los
Angeles Business Journal.
— 2000, March 27. Retrieved
March
11, 2004, from LookSmart database.

  1.  Tiittanen A.M. The Role of End-User Computing
    Support in Auditing
    // http://www.helsinki.fi/-tiittane/
    isd97.htm.
  2.  Van Dijk J.C, Williams P. Expert systems in audi
    ting.
    N.Y.: Stockton press, 1990. — 192 p.

135.Ward M. (2003, September 29). Does virtual crime
need real justice? BBC News. Retrieved March 11, 2004, from
http://news.bbc.co.Uk/2/hi/technology/3139456.stm.

136.Weber R. Information systems control and audit. —Upper Saddle River, Prentice-Hall, Inc:, 1999. — 1013 p.

137. Webster's New International Dictionary of English Language. — Springfield, Mass., 1957.

138. Wilding  E.  Computer  Evidence:   A  Forensic
Investigations Handbook. — London: Sweet&Maxwell Ltd.,
1997. — 236 p.

139.Wilkinson J.W., CerulloMJ. Accounting information
systems: essential concepts and applications. — 3rd ed. —N. Y.: Wiley&Sons, 1997. — 984 p.

140.Williamson A.L. Audit Automation, Accountants Digest No. 318, ICAEW, London, 1994.

141.Woolf E. Advanced auditing and investigations. — 2nd ed. — London, Longman Group, 1986.


 

А также другие работы, которые могут Вас заинтересовать

47752. Инвестиции. Понятие об инвестициях 271 KB
  Можно выделить 3 варианта: 1 активные инвестиции 2 и 3 пассивные инвестиции Этапы реализации инвестиционного проекта. Предварительная подготовка проекта. Это решается после разработки бизнесплана предполагаемого инвестиционного проекта. Бизнесплан инвестиционного проекта имеет определённую структуру которая зависит от специфики реализуемого бизнеса и масштабов проекта.
47753. История зарубежной журналистики 867.5 KB
  После возникновения книгопечатания печатные газеты вытесняют рукописные листки новостей периодическая печать в XVIXVIII веках является в 3 основных типах еженедельная и ежедневная газета журнал. Сегодня она распространяется по всей стране как и некоторые другие газеты. К качественной прессе кроме Таймса можно отнести ежедневные газеты Дейли телеграф Ежедневный телеграф 1855 год основания Гардиан Страж 1821 Файнэншл Таймс Финансовое время 1888 Индепендент Независимый. Период 18701914 годов отмеченным...
47754. ОСНОВЫ ПРАВА. КОНСПЕКТ ЛЕКЦИЙ 842.5 KB
  Это потребует высокопрофессионального состава юристов и достаточной правовой грамотности государственных служащих и других лиц, занятых юридической и иной деятельностью
47755. Господарський облік, його суть і характеристика 728.5 KB
  Загальна характерстика господарського обліку та основні етапи його розвитку 1. Види господарського обліку і їх характеристика 1. Загальна характерстика господарського обліку та основні етапи його розвитку Необхідність в обліку виникла в глибоку давнину в процесі матеріального виробництва а господарська діяльність сприяла його поширенню. Вперше бухгалтерський облік як окрему складову господарського обліку визначив італійський чернець і математик Лука Пачолі.
47757. PRESENT SIMPLE AND PRESENT CONTINUOUS 198.5 KB
  Систематизувати знання студентів за темою Present simple and continuous Навчити утворювати стверджувальні, питальні та заперечні речення з даною граматичною структурою. Навчити вживати дану граматичну структуру в мовленні
47758. ОСНОВИ ФІНАНСІВ ПІДПРИЄМСТВ 1.28 MB
  Субєктами таких відносин можуть бути підприємства та організації банківські установи та страхові компанії позабюджетні фонди інвестиційні фонди аудиторські організації інші суб'єкти господарювання які є юридичними особами. Формування фінансових ресурсів на підприємствах відбувається під час формування статутного фонду а також у процесі розподілу грошових надходжень у результаті повернення авансованих коштів у основні та оборотні фонди використання доходів на формування резервного фонду фонду споживання і фонду накопичення. Формування...
47759. Криминалистика. Конспект лекций 549 KB
  Понятие принципы элементы и значение планирования расследования преступлений. Техника планирования расследования. Информационно-компьютерное обеспечение раскрытия и расследования преступлений. Роль автоматизированных информационно-поисковых систем АИПС в информационном обеспечении раскрытия и расследования преступлений.
47760. Криминалистика. Курс лекций 3.67 MB
  Криминалистика юридическая наука прикладного характера дает в руки следователей оперативно-розыскных работников и экспертов-криминалистов научно обоснованные и проверенные практикой средства приемы и методы раскрытия расследования и предупреждения любых самых сложных преступлений. Современная криминалистика продолжает активно развиваться впитывая в себя все новые знания из различных областей других наук для разработки на этой основе более совершенных средств и методов расследования. вышло в свет первое в России пособие...