Дополнительные процедуры, которые необходимо соблюдать при проведении аудита в условиях компьютерных информационных систем (КИС), раскрыты в МСА 401 «Аудит в среде компьютерных информационных систем». Для целей данного МСА условия КИС существуют, когда субъект применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер данным субъектом или третьей стороной. В таких случаях аудитор должен рассмотреть, каким образом КИС влияет на аудит, причем общая цель и объем аудита в среде КИС не меняются, однако их применение может оказать влияние на следующее:

· процедуры, соблюдаемые аудитором в процессе получения остаточного представления о системах бухгалтерского учета и внутреннего контроля;

· анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;

· разработку и проведение аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

В разделе «Умение и компетентность» определены требования, предъявляемые к уровню подготовки и квалификации аудитора для данной работы, и степень его ответственности в случае делегирования этой работы помощникам или использования результатов работы, проведённой третьими лицами. Аудитор должен обладать достаточным знанием КИС для того, чтобы планировать, направлять, контролировать и проверять выполняемую работу.

Аудитор должен рассмотреть вопрос о необходимости специализированных знаний о КИС для про­ведения аудита, которые могут понадобиться для:

· достаточного представления о системах бухгалтерского учета и внутреннего контроля, на которые влияет среда КИС;

· определения влияния КИС на оценку общего риска, риска на уровне сальдо счетов и класса операций;

· разработки и проведения соответствующих тестов контроля и процедур проверки по существу.

При возникновении необходимости в специализированных знаниях аудитор может обратиться за помощью к специалисту, облада­ющему такими знаниями и являющемуся либо работником аудитор­ской фирмы, либо приглашенным экспертом.

Аспектам планирования аудита в среде КИС посвящен раздел «Планирование», в котором отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению. При этом он должен руководствоваться МСА 400 «Оцен­ка рисков и внутренний контроль». В данном разделе указаны усло­вия, обусловливающие степень сложности прикладной программы, которая предопределяет представление аудитора о значимости и слож­ности процессов функционирования КИС, а также о доступности дан­ных для использования при аудите.

При планировании стадий аудита, на которые может повлиять среда КИС субъекта, аудитор должен получить представление о зна­чимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите.

Прикладная про­грамма считается сложной, если, например:

· объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;

· компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;

· компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные опера­ции или проводки, которые не могут быть подтверждены либо не под­тверждаются отдельно;

· обмен операциями с другими организациями осуществляется электронным способом, и при этом не проводится физической провер­ки на предмет правильности или приемлемости передаваемых данных.

Если КИС играют значительную роль, аудитор должен получить представление о среде КИС и возможности их влияния на оценку неотъемлемого риска и риска системы контроля.

Согласно разделу «Оценка риска» аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существен­ных утверждений, содержащихся в финансовой отчетности.

В разделе «Процедуры аудита» отмечается, что аудитор должен учитывать среду КИС при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчер­кивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере.