Вопросы изучения и оценки системы учета и отчетности и вза­имосвязанных с ней систем внутреннего контроля в случае электронной обработки данных рассматриваются в ПМАП 1008 «Оценка рисков и внутреннего контроля – характеристики КИС и связанные с ними воп­росы». В Положении нашли отражение наиболее распространенные характеристики процесса электронной обработки данных, в том числе факторы, влияющие на его организационную структуру, характер обра­ботки данных и процедуры, применяемые в системах учета и отчетно­сти и внутреннего контроля. Положение ПМАП 1008 «Оценка рисков и система внутреннего контроля – характеристики КИС и связанные с ним воп­росы» представляет собой дополнение к МСА 401 «Аудит в условиях компьютерных информационных систем».

В разделе ПМАП 1008 «Организационная структура», в котором описывает­ся организационная структура КИС, отмечено о возможной концент­рации функций и знаний. В таких случаях возникает ситуация, когда определенные сотрудники, занимающиеся обработкой данных, могут быть единственными сотрудниками, которые в деталях понимают вза­имосвязь между источниками данных. Возникает опасность того, что эти сотрудники будут знать о слабых местах системы внутреннего конт­роля и смогут внести изменения в программы или данные во время их обработки и хранения. Другим нежелательным явлением может ока­заться концентрация программ и данных – компьютерные программы, которые обеспечивают доступ к данным и позволяют изменять данные, обычно хранятся там же, где и данные. Следовательно, при отсутствии соответствующего контроля увеличивается вероятность несанкциони­рованного доступа к программам, данным и их изменения.

В разделе «Характер обработки» говорится, что использование компьютеров может привести к тому, что в системе учета будет слож­нее получить наглядные доказательства, чем при использовании руч­ных методов и процедур, так как к таким системам имеет доступ большее количество людей.

Раздел «Внутренний контроль в среде КИС» содержит инфор­мацию о том, что внутренний контроль за компьютерной обработкой данных, который помогает достигать общих целей внутреннего конт­роля, включает в себя как процедуры, проводимые с помощью ручной обработки, так и процедуры, встроенные в компьютерные программы.

В разделе «Общий контроль КИС» говорится, что целью общего контроля КИС является создание структуры общего контроля за дея­тельностью КИС и обеспечение достаточной уверенности в достиже­нии основных целей внутреннего контроля.

В разделе «Контроль прикладных программ КИС» дается опре­деление цели контроля прикладных программ КИС как установление конкретных процедур контроля в отношении прикладных учетных про­грамм для обеспечения достаточной уверенности в том, что все опера­ции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно.

Согласно разделу «Обзор общего контроля КИС» аудитор обя­зан рассмотреть, насколько влияние, которое общий контроль КИС оказывает на прикладные программы КИС, важно для ауди­та. Средства общего контроля КИС, которые относятся к некоторым или ко всем прикладным программам, как правило, являются взаимоза­висимыми, поскольку их работа обычно существенно влияет на эффек­тивность контроля прикладных программ КИС. Следовательно, может быть целесообразным проверить структуру общего контроля до про­верки контроля прикладных программ.

В разделе «Обзор средств контроля прикладных программ КИС» указывается, что контроль за вводом, обработкой файлов данных и результатами могут проводить персонал КИС, пользователи систе­мы, отдельная группа контроля или сама прикладная программа.

В разделе «Оценка» говорится, что общие средства контроля КИС могут оказывать глубокое воздействие на обработку операций в прикладных программах. Если подобные средства контроля неэффек­тивны, то может существовать риск возникновения искажений и риск необнаружения таковых в прикладных программах. Следовательно, недостатки общих средств контроля КИС могут помешать тестирова­нию определенных прикладных средств контроля КИС. Однако используемые пользователями ручные процедуры могут представлять собой эффективное средство контроля на уровне прикладных программ.