В составе международных стандартов аудита шесть стандартов посвящены компьютерной тематике.
Компьютерный аудит предполагает использование компьютеров и современных информационных технологий (ИТ) для организации аудиторской деятельности. Основными работами в связи с этим можно считать аудиторские проверки финансовой отчетности с подготовкой аудиторского заключения, а также оказание сопутствующих аудиту услуг.
Общие сведения о компонентах компьютерного аудита, основных понятиях и подходах к его организации можно получить из МСА 401 и ПМАП 1009. Эти два документа непосредственно связаны между собой, хотя первый имеет большее отношение к экономическому субъекту, а второй – непосредственно к аудиторам и аудиторским организациям.
На практике возможны разные варианты проведения компьютерного аудита. Отметим, что наиболее благоприятным является вариант, при котором компьютеры для автоматизации управленческих работ используют и экономический субъект, и аудиторская организация. Однако само по себе наличие персональных компьютеров не является основным компонентом компьютерного аудита. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В МСА 401 в связи с этим введено понятие «компьютерная обработка данных» (КОД).
В аудиторской организации компьютеры могут использоваться для автоматизации ее управленческих работ и для проведения аудита у экономических субъектов. Понятие «использование компьютеров для проведения аудита» является весьма общим и может включать в себя ряд направлений использования (виды выполняемых работ):
1) несложные расчеты, печать типовых форм аудиторских документов, опросных листов, анкет и др.;
2) организацию нормативно-правовой справочной базы в электронном виде;
3) проверку отдельных участков учета: расчетов по основным средствам, производственным запасам и др.;
4) комплексную проверку всех разделов и счетов бухгалтерского учета, работы персонала, проведения экономического анализа.
Из приведенных вариантов использования компьютеров для проведения аудита наибольший эффект достигается, если компьютеры применяются для реализации первого, второго и четвертого вариантов, что в конечном итоге позволяет создать систему автоматизации аудиторской деятельности (СААД).
Руководством для аудиторов по использованию компьютерных методов аудита, особенно в части применения компьютерных программ и данных для тестирования, служит ПМАП 1009 «Методы аудита с помощью компьютеров». Использование компьютера в качестве инструмента аудита называют методом аудита с помощью компьютеров (МАПК).
Положение ПМАП 1009 применяется ко всем видам использования МАПК, включая компьютеры любых видов и размеров.
В разделе «Описание методов аудита с помощью компьютеров (МАПК)» описываются методы проведения аудита с помощью компьютеров, в том числе компьютерных инструментов, получивших название МАПК, которые могут быть использованы при проведении различных процедур аудита, включая детальные тесты операций и сальдо, аналитические процедуры, тесты общих средств контроля, программы осуществления отбора совокупности, обеспечивающие выбор данных для аудиторских тестов, тестирование прикладных средств контроля, пересчет данных, ранее полученных с помощью систем бухгалтерского учета субъекта.
МАПК – это компьютерные программы и данные, используемые аудитором в качестве процедур аудита, чтобы обрабатывать значимые для аудита данные, содержа
щиеся в информационных системах субъекта. Методы аудита с помощью компьютеров могут состоять из пакетных программ, программ специального назначения, программ-утилит и программ управления системой. Независимо от источника программ до их использования аудитор должен обосновывать их надлежащий характер и соответствие целям аудита.
Согласно разделу «Рассмотрение использования МАПК» аудитор должен при планировании аудита рассматривать соответствующую комбинацию ручных методик и методик аудита с помощью компьютеров. При принятии решения о том, использовать ли МАПК, рекомендуется учитывать следующие факторы:
· знания, навыки и опыт работы аудитора в области ИТ;
· возможность применения МАПК и наличие соответствующих компьютерных устройств;
· нецелесообразность применения ручных тестов;
· эффективность и результативность;
· фактор времени.
В частности, аудитор должен владеть знаниями, достаточными для планирования, получения и использования результатов выбранных МАПК. Уровень необходимых знаний зависит от сложности и характера МАПК и информационной системы субъекта.
Аудитор должен рассматривать возможность применения МАПК, наличие подходящих компьютерных устройств и необходимых информационных систем, основанных на применении компьютеров, и данных. Аудитор может планировать использование других компьютерных устройств, если применение МАПК на компьютере субъекта является экономически нецелесообразным или невыполнимым, например, из-за несовместимости пакета программ аудитора и компьютера субъекта. Помощь специалистов субъекта может потребоваться для получения в удобное время возможности для обработки, а также для такой работы, как загрузка и запуск МАПК в системе субъекта, и для получения копий файлов с данными в форме, необходимой для аудитора.
Эффективность и результативность процедур аудита, проводимых для получения и оценки аудиторских доказательств, могут быть улучшены с использованием МАПК. Как правило, МАПК представляют собой эффективный способ тестирования большого количества операций или средств контроля в случае большой генеральной совокупности посредством анализа и отбора совокупности из большого числа операций, применения аналитических процедур и выполнения процедур проверки по существу.
К показателям эффективности, которые могут быть учтены аудитором, относятся:
· время планирования, разработки, применения и оценки МАПК;
· время (в часах) работы, затраченное на технический анализ и консультации;
· время, затраченное на составление и распечатку форм;
· доступность компьютерных ресурсов.
В разделе «Использование МАПК» перечислены основные шаги, которые необходимо предпринять аудитору при использовании МАПК.
Специальные процедуры, необходимые для контроля за использованием МАПК, зависят от конкретного применяемого приложения. При определении средств контроля аудитор должен рассмотреть необходимость:
· утверждения технических характеристик и проведения обзорной проверки работы, проводимой с использованием МАПК;
· проверки общих средств субъекта, которые могут способствовать целостности МАПК;
· обеспечения соответствующей интеграции полученных аудитором в рамках аудита результатов в общий процесс аудита.
В разделе «Использование МАПК в среде ИТ малого субъекта» описаны особенности ИТ среды малого субъекта, а именно то, что:
· уровень общих средств контроля может быть таким, что аудитору придется в меньшей степени полагаться на систему внутреннего контроля (это приведет к более значительной роли детальных тестов операций и сальдо, а также аналитических процедур обзорной проверки; применению аудиторских процедур в целях обеспечения правильного функционирования МАПК и обоснованности данных субъекта);
· в случаях, когда обрабатываются небольшие объемы данных, использование некомпьютеризованных методов может оказаться более экономичным;
· аудитор может не получить достаточной технической помощи от субъекта, что делает использование МАПК невозможным;
· определенные пакетные программы могут не работать на небольших компьютерах, что ограничивает выбор аудитора в отношении МАПК. Однако файлы с данными субъекта можно скопировать и обработать на подходящем компьютере.