В монографию по аудиту невозможно включить полное описание всех сложных моментов электронной обработки данных по хозяйственным операциям. Настоящая статья рассчитана на читателя, который знаком с принципами работы ЭВМ и основами электронной обработки данных. В этом разделе приведен обзор основных элементов компьютерной системы, даны определения некоторых терминов и описаны отдельные стороны контроля, специфические для автоматизированных систем.
Хотя компьютерный аудит — самостоятельная область, его принципы несущественно отличаются от принципов аудита.
Так, при электронной обработке данных по хозяйственным операциям сохраняют свое содержание:
- определение аудита;
- цели аудита;
- общепринятые стандарты аудита;
- элементы контроля, включаемые в финансовую отчетность;
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
- задачи контроля;
-- условие наличия достаточно представительного фактического материала;
- заключение независимого аудитора о финансовой отчетности.
Как видно из приведенного перечня, принципы сохраняют свою силу, изменения касаются только способа обработки и хранения данных бухгалтерского учета. Усложнение автоматизированного учета ставит аудиторские фирмы перед необходимостью привлечения специалистов, знакомых с компьютерной технологией и основными целями аудита. К таким “компьютерным аудиторам” обращаются по мере необходимости, как например, к специалистам в области статистической выборки или экспертам SEC. Вместе с тем, каждый аудитор должен обладать знаниями в области электронной обработки данных и контроля на уровне, необходимом для самостоятельного проведения аудиторской проверки простой компьютерной системы, а также для взаимодействия со специалистами по компьютерному аудиту.
Элементы компьютерной системы
В неавтоматизированной системе ведения бухгалтерского учета обработка данных о хозяйственных операциях легко прослеживается и обычно сопровождается документами на бумажном носителе информации — распоряжениями, поручениями, счетами и учетными регистрами, например бесконечными журналами учета МПЗ. Аналогичные документы часто используются и в компьютерной системе, но во многих случаях они существуют только в электронной форме. Более того, основные учетные документы (бухгалтерские книги и журналы) в компьютерной системе бухгалтерского учета зачастую представляют собой файлы данных, прочитать или изменить которые без компьютера невозможно.
Компьютерная система включает следующие элементы:
1. Аппаратные средства. К ним относятся: оборудование и устройства, из которых состоит компьютер, в частности центральный процессор, оптические считывающие устройства, накопители на магнитной ленте, дисководы, принтеры, терминалы и т.п.
2. Программные средства.
а) Системные программы. К этим программам, выполняющим общие функции, обычно относят операционные системы, которые управляют аппаратными средствами и распределяют их ресурсы для максимально эффективного использования, системы управления базами данных (СУБД), обеспечивающие выполнение стандартных функций по обработке данных, и сервисные программы, которые выполняют в компьютере основные операции, например сортировку записей. Системные программы обычно разрабатывают поставщики аппаратных средств или фирмы, специализирующиеся в области программного обеспечения, и модифицируют с учетом индивидуальных требований.
6) Прикладные (пользовательские) программы — это наборы машинных команд для обработки данных, которые организация-пользователь разрабатывает самостоятельно или приобретает у внешнего поставщика.
3. Документация — описание системы и структуры управления применительно к вводу, обработке и выводу данных, обработке сообщений, логическим и другим командам.
4. Персонал — работники, которые управляют системой, проектируют ее и снабжают программами, эксплуатируют и контролируют систему обработки данных.
5. Данные — сведения о хозяйственных операциях и другая необходимая информация, которую вводят, хранят и обрабатывают в системе.
6. Процедуры контроля. Процедуры, обеспечивающие соответствующую запись операций, предупреждающие или регистрирующие ошибки.
В соответствии с аудиторскими стандартами одной из главнейших обязанностей администрации является создание работоспособной структуры внутреннего контроля, в состав которой входят такие элементы компьютерной системы, как политика и процедуры контроля. В обязанности же аудиторов включена оценка риска неэффективности контроля компьютерной системы.
В этих условиях администрация обязана обеспечить:
1) полноту и своевременность обновления документации по компьютерной системе;
2) использование такой системы обработки данных, которая сохраняет контрольные записи выполненных операций;
3) предоставление аудиторам доступа к ресурсам компьютерной системы и помощь специалистов, ответственных за работу компьютерной системы.
Особенности компьютерной обработки данных
Способ обработки хозяйственных операций при ведении бухгалтерского учета оказывает существенное влияние на организационную структуру фирмы, а также на процедуры и методы внутреннего контроля. Компьютерная технология характеризуется рядом особенностей, которые следует учитывать при оценке условий и процедур контроля.
Ниже приведены отличия компьютерной обработки данных от неавтоматизированной:
- Контрольные записи. В некоторых компьютерных системах полезные с точки зрения аудита контрольные записи о выполнении операций существуют либо непродолжительное время, либо только в машиночитаемой форме. Контрольная запись содержит цепочку последовательных действий, обусловленных кодами, перекрестными ссылками и документами, которые связывают сальдо счетов и другие обобщающие показатели с исходными данными и вычислениями.
- Единообразное выполнение операций. Компьютерная обработка предполагает использование одних и тех же команд при выполнении идентичных операций бухгалтерского учета, что практически исключает появление случайных ошибок, обыкновенно присущих ручной обработке. Напротив, программные ошибки (или другие систематические ошибки в аппаратных либо программных средствах) приводят к неправильной обработке всех идентичных операций при одинаковых условиях.
- Разделение функций. Компьютерная система может осуществить множество процедур внутреннего контроля, которые в неавтоматизированных системах выполняют разные специалисты. Такая ситуация оставляет специалистам, имеющим доступ к компьютеру, возможность вмешательства в чужие функции. В итоге компьютерные системы могут потребовать введения дополнительных мер для поддержания контроля на необходимом уровне, который в неавтоматизированных системах достигается простым разделением функций. К подобным мерам может относиться система паролей, которые предотвращают действия, не допустимые со стороны специалистов, имеющих доступ к информации об активах и учетных документах через терминал в диалоговом режиме.
- Потенциальные возможности появления ошибок и неточностей. По сравнению с неавтоматизированными системами бухгалтерского учета компьютерные системы более открыты для несанкционированного доступа, включая лиц, осуществляющих контроль. Они также более доступны для скрытого изменения данных и прямого или косвенного получения информации об активах. Чем меньше человек вмешивается в машинную обработку операций учета, тем ниже возможность выявления ошибок и неточностей. Ошибки, допущенные при разработке или корректировке прикладных программ, могут оставаться незамеченными на протяжении длительного периода.
- Потенциальные возможности усиления контроля со стороны администрации. Компьютерные системы дают в руки администрации широкий набор аналитических средств, позволяющих оценивать и контролировать деятельность фирмы. Наличие дополнительного инструментария обеспечивает укрепление системы внутреннего контроля в целом и, таким образом, снижение риска его неэффективности. Так, результаты обычного сопоставления фактических значений коэффициента издержек с плановыми, а также сверки счетов поступают к администрации более регулярно при компьютерной обработке информации. Кроме того, некоторые прикладные программы накапливают статистическую информацию о работе компьютера, которую можно использовать в целях контроля фактического хода обработки операций бухгалтерского учета.
- Инициирование выполнения операций в компьютере. Компьютерная система может выполнять некоторые операции автоматически, причем их санкционирование не обязательно документируется, как это делается в неавтоматизированных системах бухгалтерского учета, поскольку сам факт принятия такой системы в эксплуатацию администрацией предполагает в неявном виде наличие соответствующих санкций.
Планирование аудиторской проверки
В дополнение к планированию аудита следует учитывать особенности методов, применяемых фирмой для обработки существенной бухгалтерской информации, включая услуги таких сторонних организаций, как специализированные центры по обработке данных. Используемые фирмой методы влияют на строение системы бухгалтерского учета и на характер методик внутреннего контроля. Уровень автоматизации обработки бухгалтерской информации, равно как и сложность самой обработки, также могут оказывать влияние на сущность, распределение во времени и глубину аудиторских процедур.
Таким образом, при оценке влияния электронной обработки данных на аудит финансовой отчетности необходимо учитывать следующие моменты:
- уровень автоматизации каждой из задач бухгалтерского учета;
- сложность машинных операций, выполняемых фирмой, включая услуги сторонних центров по обработке данных;
- доступность данных;
- наличие методик автоматизированного аудита, повышающих эффективность аудиторских процедур;
- необходимость в специальной подготовке.
Уровень автоматизации
При планировании аудиторской проверки следует учитывать степень использования компьютерной технологии для решения каждой из задач по обработке существенной бухгалтерской информации. Существенной считается та бухгалтерская информация, которая может оказать реальное воздействие на финансовую отчетность. Применение компьютерных систем для обработки существенной бухгалтерской информации может потребовать от аудиторов специальных знаний для понимания сущности выполняемых операций. Уровень автоматизации может также влиять на содержание, распределение во времени и глубину аудиторских процедур.
Сложность машинных операций
При планировании аудиторской проверки следует учитывать сложность машинных операций, выполняемых на фирме, включая услуги сторонних организаций. Оценивая сложность компьютерной обработки, организатор проверки должен соотнести свою подготовку и опыт с используемыми фирмой методами обработки данных. В случае обработки существенной бухгалтерской информации в сторонней организации может потребоваться согласование аудиторских процедур с аудиторами, специализирующимися в области услуг.
При оценке сложности компьютерной обработки необходимо учитывать и другие факторы. Так, об уровне сложности могут свидетельствовать используемые фирмой аппаратные средства. Степень интеграции компьютерных систем или степень совместного использования ими файлов также имеют значение, поскольку создают потенциальную возможность доступа каждой из этих систем к существенной бухгалтерской информации. В некоторых компьютерных системах контрольные записи выполненных операций метут существовать только в машиночитаемой форме в течение непродолжительного времени и в довольно сложном виде.
Организация компьютерной обработки данных
Существенное влияние на планирование работы аудитора может оказывать организация процесса компьютерной обработки данных. На разных фирмах она может значительно различаться, в частности по уровню централизации.
Высокий уровень централизации обработки данных характеризуется, в целом, централизованным управлением и контролем выполнения всех операций с существенной информацией. Состояние контроля, аппаратные и программные средства могут быть однородными во всех подразделениях фирмы. В этих условиях аудиторы могут получить основную информацию о компьютерной обработке данных из центрального компьютера. Наоборот, децентрализация обработки данных позволяет различным отделам, отделениям, филиалам или территориально разъединенным подразделениям осуществлять независимое управление и контроль. В такой ситуации аппаратные и программные средства зачастую разнородны, а аудиторы сталкиваются с необходимостью обследования множества компьютеров для получения всей требуемой информации. Для оценки возможности разделения функций требуется установить численность сотрудников фирмы, связанных с компьютерной обработкой данных, и уровень их осведомленности в области компьютерной технологии.
Доступность данных
Компьютерные системы позволяют хранить, запрашивать и анализировать гораздо большие массивы данных, чем это возможно в неавтоматизированных системах. Часто исходные данные, некоторые файлы и другая необходимая аудиторам информация существуют только в течение короткого времени или в машиночитаемой форме. В отдельных компьютерных системах печатных копий исходных документов может не быть вовсе, так как информацию вводят напрямую. Аудитору могут потребоваться данные, которые в соответствии с информационной политикой фирмы не сохраняются. В этом случае аудитор должен заранее договориться с компанией-клиентом об их предоставлении. С другой стороны, аудиторы могут спланировать время проведения проверки так, чтобы необходимая информация была бы им доступна.
В дополнение следует сказать, что с позиций проведения анализа и других аудиторских процедур может оказаться полезной и информация, формируемая компьютерной системой для администрации в целях внутреннего производственного контроля. Например, принцип хранения информации позволяет клиенту сохранить данные о товарообороте по месяцам, видам продукции, торговым агентам. Подобную информацию может использовать и аудитор для определения обоснованности расчета дохода.
Применение методик автоматизированного аудита
Применение методик автоматизированного аудита может повысить эффективность аудиторских процедур, а также обеспечить применение отдельных процедур для проверки всей генеральной совокупности учетных операций. Использование этих методик требует перспективного планирования, а также включения специалистов в этой области в состав группы аудиторов.
Необходимость в специальной подготовке
При определении потребности аудиторов в специальной подготовке в области компьютерной технологии следует учитывать все аспекты обработки данных в компьютерной системе. Планируя работу, руководитель аудиторской проверки вправе привлечь специалистов для оценки влияния компьютерной обработки данных на аудит, для определения пути выполнения операций бухгалтерского учета, а также для разработки и выполнения аудиторских процедур. Например, может потребоваться специальная подготовка в области методов обработки данных, языков программирования, пакетов программ или методов автоматизированного аудита. Руководители аудиторских проверок должны обладать достаточными знаниями в области компьютерной технологии, чтобы выяснить потребность в соответствующих специалистах, понять и проконтролировать их работу.
Этап 1: изучение компьютерной системы
Целью первого этапа работы является сбор необходимой информации о среде контроля, системе бухгалтерского учета и процедурах контроля для выявления возможности использования элементов внутреннего контроля в качестве основы для планирования содержания, распределения во времени и глубины процедур аудита. Действия на первом этапе должны быть спланированы так, чтобы обеспечивать понимание среды контроля и потока операций в системе бухгалтерского учета.
Изучение среды контроля дает общие представления:
а) об организационной структуре;
б) о принятой на фирме системе передачи обязанностей и полномочий;
в) о методах, используемых администрацией для контроля системы бухгалтерского учета, включая внутренний аудит (при его наличии).
Компьютерная обработка данных может оказывать влияние на каждый из этих элементов среды контроля.
Среда контроля: организационная структура
Понимание организационной структуры фирмы включает определение места компьютерной системы в ней. Понимание организационной структуры — неотъемлемая часть оценки риска неэффективности контроля в целом.
При анализе структуры компьютерной системы фирмы аудиторы преследуют определенные цели:
- описание компьютерных ресурсов фирмы, включая аппаратные средства, услуги сторонних центров, а также точек, в которых возможен доступ к компьютерной системе;
- описание организации работы компьютерной системы в части деятельности персонала вычислительного отдела и его взаимодействия с персоналом других отделов.
Описание компьютерных ресурсов дает возможность:
1) проанализировать работу компьютерной системы;
2) выявить точки доступа к компьютерным ресурсам, используемым для обработки бухгалтерской информации;
3) раскрыть политику фирмы в области контроля доступа к компьютерным ресурсам. Для оценки разделения функций аудиторы должны исследовать разделение обязанностей между специалистами по системам, программистами и операторами. Необходимо изучить организацию контроля и понять ее. Следует также определить место компьютерной системы в структуре фирмы и составить представление о взаимодействии отделов пользователей с вычислительным центром.
В ходе анализа принятой на фирме системы передачи обязанностей и полномочий аудитор должен получить информацию о существовании:
а) руководств по ведению бухгалтерского учета и осуществлению политики фирмы в других областях, включая эксплуатацию компьютерной системы;
б) формальных описаний заданий для персонала вычислительного центра. Соответствующие описания заданий для пользователей также могут быть полезными.
Аудиторы должны составить представление об управлении компьютерными ресурсами фирмы и распределении приоритетов их использования. Также следует выяснить, знают ли сотрудники отделов фирмы стандарты и процедуры, применяемые при компьютерной обработке данных.
Среда контроля: методы, используемые администрацией для контроля системы
Составной частью этапа изучения компьютерной системы является изучение процедур ее контроля, применяемых администрацией, включая:
- стандарты по разработке системы и документации и степень их использования;
- наличие и качество процедур модифицирования системы и программ, приемки системы и модифицирования форм вывода данных, например процедур внесения изменений в отчетные формы или файлы;
- процедуры, ограничивающие доступ к закрытой информации, в частности к чувствительной информации;
- доступность финансовых и других отчетов, например анализов “затраты эффективность”, представляемых администрации;
- наличие внутреннего аудита и соответствующих процедур контроля и его участие в анализе бухгалтерской информации, обработанной на компьютере.
После того, как составлено представление о среде контроля, переходят к изучению системы бухгалтерского учета в части последовательности выполнения операций.
Изучение системы бухгалтерского учета
Изучение последовательности операций, выполняемых в системе бухгалтерского учета, необходимо для разработки действенных аудиторских процедур. Выявление последовательной цепочки операций для каждой из задач бухгалтерского учета, связанной с существенной информацией, начинается с рассмотрения предоставленного фирмой описания этих задач. При использовании компьютерных систем для обработки существенной информации описание должно включать в себя руководства и инструкции для пользователей, структуру файлов, блок-схемы системы, а также комментарии. Вместе с тем, для идентификации основных видов входной и выходной информации и принципиальных этапов обработки данных достаточно рассмотреть лишь блок-схемы системы.
Может оказаться, что лица, ответственные за внутренний аудит, или другие сотрудники фирмы имеют готовую документацию, касающуюся последовательности выполнения операций, которая может быть полезной для понимания системы бухгалтерского учета. Поэтому на ранней стадии планирования проверки целесообразно выяснить у лиц, ответственных за внутренний аудит, существует ли подобная документация.
Этап 2: оценка риска неэффективности контроля
Разделение первого и второго этапов полезно с точки зрения понимания содержания аудита. Тем не менее, на практике подавляющее большинство аудиторов выполняют их совместно, а не как четко разграниченные виды работ.
В компьютерной системе оценка риска неэффективности контроля включает следующие действия:
- идентификацию конкретных целей контроля на основе анализа различных видов ошибок в существенной бухгалтерской информации;
- идентификацию мест возможного появления определенных видов ошибок в цепочках последовательных операций;
- идентификацию специальных процедур контроля, обеспечивающих t достижение его конкретных целей;
- идентификацию вспомогательных процедур контроля, которые необходимы для обеспечения эффективности выполнения основных процедур;
- оценку структуры процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности.
Идентификация конкретных целей контроля в данном случае не отличается от этой операции в неавтоматизированных системах обработки данных. В то же время, процесс идентификации мест возможного появления ошибок в компьютерных системах значительно отличается от аналогичного процесса в неавтоматизированных системах.
Так, при использовании компьютера ошибки могут появиться в следующих случаях:
1) при подготовке исходных данных, связанной с цепочкой операций по получению разрешения на запуск системы;
2) при немашинной обработке исходных данных, например, суммировании вручную бухгалтерских данных (т.е. в процессе формирования контрольных сумм);
3) при преобразовании исходных данных в машиночитаемую форму;
4) при идентификации входных файлов для использования в обработке;
5) при передаче информации от одной программы к другой;
6) при запросе файлов для получения дополнительной информации по отдельным сделкам (например, таблиц проверенных поставщиков);
7) при инициировании операций компьютером;
8) при создании выходных файлов или корректировке главных файлов;
9) при изменении главных файлов (добавлении, удалении или изменении записей) вне обычной для каждого цикла цепочки операций в результате выполнения процедур сопровождения;
10) при генерировании выходных отчетов или файлов;
11) при исправлении ошибок, обнаруженных в результате выполнения процедур контроля;
12) при использовании персоналом выходных данных и устройств, включая отчеты и дисплеи.
После идентификации мест возможного появления ошибок с ними увязывают конкретные цели контроля. Например, одна из ошибок может привести к выставлению счетов с неверными ценами в результате использования не того файла. В этом случае цель контроля соответственно данному типу ошибки можно сформулировать так: “Во время обработки счетов необходимо обеспечить использование релевантной информации о ценах”. Следующим действием аудиторов должна стать идентификация специальных процедур контроля, которые могут предотвратить появление таких ошибок или обнаружить их. Эти процедуры следует рассматривать в свете целей контроля. Так, для цели “обеспечить использование релевантной информации о ценах” содержание процедуры контроля можно сформулировать следующим образом: “Прикладная программа выставления счетов должна идентифицировать правильный файл цен посредством сопоставления заданного имени с именем в головной метке файла”. (Определение понятия головных меток приведено ниже.) Нет необходимости рассматривать все существующие процедуры контроля, имеющие отношение к одной и той же цели, достаточно определить их минимальный набор, адекватный задаче достижения этой цели.
В компьютерных системах бухгалтерского учета процедуры контроля могут отличаться по ряду характеристик от аналогичных процедур в неавтоматизированных системах. Например, в неавтоматизированных системах признание платежа обычно фиксируют визой ответственного лица на исходном документе, в счете поставщика. В компьютерных системах подобное признание может иметь вид пароля, который дает разрешение на выполнение операции, присваивая ей специальный код. Пароль обеспечивает доступ к программам, которые инициируют выполнение определенного вида операций или изменение главных файлов. В этом случае, несмотря на совпадение целей контроля в системах обоих типов, методы достижения этих целей и видимое подтверждение соответствия выполненной операции санкционированной процедуре значительно различаются, что сильно влияет на подходы к аудиту.
Главный файл — файл, содержащий относительно постоянную информацию о какой-либо предметной области. (Прим, пер.)
Вслед за идентификацией специальных процедур контроля следует проанализировать общие или связанные с ними процедуры контроля, которые также должны функционировать соответствующим образом. Общие и прикладные процедуры контроля рассмотрены ниже.
Оценка риска неэффективности контроля осуществляется так же, как и в неавтоматизированных системах.
Собранная информация о среде контроля, системе бухгалтерского учета и процедурах контроля должна быть достаточной для обоснования одного из следующих заключений:
- Риск неэффективности контроля может быть оценен как низкий, а аудиторское тестирование системы контроля будет, по-видимому, эффективным. Адекватность процедур контроля, направленных на предотвращение ошибок или их обнаружение, может быть проверена по методу “затраты — эффективность”. В этом случае аудиторы могут продолжить тестирование системы контроля.
- Риск неэффективности контроля может быть оценен как низкий, но аудит может быть неэффективным в случае тестирования системы контроля. Политика в области контроля и соответствующие процедуры представляются адекватными, но проведение аудиторского тестирования системы контроля неэффективно по затратам. В этом случае аудиторам следует сконцентрировать свое внимание на общих процедурах проверки.
- Риск неэффективности контроля может быть оценен как высокий. Политика в области контроля и соответствующие процедуры не представляются достаточными для предотвращения ошибок или их обнаружения. В таком случае аудиторы используют общие процедуры проверки.
Если на каком-либо из этапов проверки будет выявлена неадекватность системы контроля, следует использовать общие процедуры аудита. В ходе работы по оценке риска может сложиться ситуация, когда специальные процедуры контроля, обеспечивающие низкий уровень риска, доступны не в полном объеме. В подобных случаях цели проверки могут быть достигнуты частью с помощью сочетания тестирования системы контроля с общими процедурами аудита, а частью только с помощью общих процедур.
Простые компьютерные системы: характеристики и подходы к контролю
Хотя настоящий раздел посвящен методам контроля простых компьютерных систем, многие из них применимы и для более сложных систем, которые рассмотрены далее. К простым системам относят те, в которых данные полностью обрабатываются в центральном компьютере в пакетном режиме.
Характеристики простой компьютерной системы
Пакетная обработка, называемая также последовательной, предполагает группировку обрабатываемых записей в пакеты по видам операций. Оператор или операционная система вызывает необходимые программы и главные файлы из библиотеки компьютера. В соответствии с командами из руководства по эксплуатации все операции одного вида выполняются с использованием одних и тех же программ и главных файлов. Так, обработка всех записей платежной ведомости происходит единовременно со считыванием с магнитной ленты данных об идентификационных номерах работников и отработанном времени. Программы редактируют данные и проверяют их достоверность, а также согласуют проверенные операции с главным файлом сведений о работниках для получения информации о тарифных ставках и удержаниях. Программы рассчитывают заработную плату, распечатывают чеки, корректируют записи и обобщают информацию об оплате труда для представления администрации. После завершения обработки файлы данных записывают на магнитном носителе, а распечатанные чеки и отчеты доставляют по назначению.
Пакеты записей накапливают в центральном компьютере и локальных системах. Исходные данные вводят через терминалы и хранят на магнитных лентах или дисках. Пакетная обработка всегда характеризуется объединением идентичных операций для обработки группами или пакетами с использованием одних и тех же программ. Главные файлы в этом случае играют ту же роль, что и вспомогательные и Главные книги в неавтоматизированной системе бухгалтерского учета, а пакеты операций схожи с журналами. Все бухгалтерские операции пакета могут быть распечатаны, но их детали, как правило, на печать не выводятся. В этой ситуации вместо привычных журналов генерируются итоговые записи для обновления главных файлов контрольных счетов.
Главные файлы содержат записи, разделяемые в общем плане по полям двух типов: статическим, например численность работников и тарифные ставки, и динамическим, например сумма выплат нарастающим итогом или балансы счетов. В большинстве случаев компьютерная обработка бухгалтерской информации связана с корректировкой записей главных файлов по этим полям. В процессе обновления изменения происходят в динамических полях, как это было показано для случая пакетной обработки записей платежной ведомости, статические же поля остаются неизменными. Статические поля изменяются в процессе ведения файлов, при котором происходит добавление или удаление записей целиком, например включение сведений о новом работнике, или замена полей, например введение новых тарифных ставок. Таким образом, с точки зрения аудита важным пунктом является организация разрешительной системы и контроля за внесением изменений обоих типов.
Характеристики общих процедур контроля
Процедуры контроля в компьютерных системах бухгалтерского учета можно разделить на два типа — общие и прикладные. Общие процедуры контроля применимы ко всем или к большинству функций компьютерной системы, к ним относится, например, контроль доступа к программам и файлам базы данных. Прикладные процедуры контроля связаны с конкретными функциями компьютерного учета, например программной проверкой входных данных с целью верификации номеров счетов и предельных размеров кредита. Рассмотрим сначала общие процедуры контроля, которые обычно фигурируют на начальном этапе аудита.
Организационный и физический факторы. Разделение функциональных обязанностей, таких как санкционирование операций, хранение материальных ценностей, ведение записей, периодическая сверка, имеет для компьютерных систем такое же значение, как и для неавтоматизированных. Вместе с тем, существование ряда функций, свойственных только компьютерным системам, в частности системный анализ, программирование, преобразование данных, ведение библиотеки, машинные операции, обусловливает целесообразность их дальнейшего разделения.
Поскольку обработка бухгалтерской информации выдвигает определенные требования к точности и логике разработки компьютерной системы, программированию и эксплуатации, квалификация персонала является важным фактором. Непосредственная оценка аудиторами уровня подготовки персонала, однако, представляется затруднительной. Как следствие, аудиторы должны строить свою работу на основе оценки состояния документации и эффективности алгоритмов контроля ошибок.
Наиболее существенное различие функций наблюдается у аналитиков, программистов и операторов. Ниже перечислены обязанности специалистов в соответствии с должностями.
Системный аналитик. Разработка требований, предъявляемых к информации. Оценка существующей системы и разработка нового или более высокого по уровню процесса обработки данных. Разработка схемы системы и технических условий для программистов. Разработка документации для прикладной системы.
Программист. Разработка логических блок-схем компьютерных программ в соответствии с концепцией системы, созданной системным аналитиком. Создание текста программ. Разработка документации к программам.
Оператор. Эксплуатация прикладных программ бухгалтерского учета в соответствии с описанием процедур в инструкциях к компьютеру.
Оператор подготовки данных. Подготовка данных к машинной обработке. В прошлом работники, занимающие эту должность, имели дело с клавишными перфораторами для подготовки перфокарт; в настоящее время они переносят воспринимаемую визуально информацию на магнитную ленту или диски с использованием оптических считывающих устройств или терминалов передачи данных. В случае применения современных компьютерных систем операторы подготовки данных скорее напоминают счетоводов, которые вводят с удаленных терминалов данные по бухгалтерским операциям.
Библиотекарь. Различают две функции библиотекаря в вычислительном центре, одна из которых связана с документацией по системным и прикладным программам, а другая — с самими программами и файлами данных. Библиотека документации обеспечивает учет документов по стадиям разработки и эксплуатации компьютерных информационных систем. Библиотека программ и данных ориентирована на учет используемых файлов данных и программ. Во многих системах вторая функция выполняется автоматически программными средствами.
Контролер (группа контроля). Получение исходных данных от отделов пользователей, их регистрация и передача службе подготовки данных, ведение учета порядковой нумерации документов, анализ и обработка сообщений об ошибках, сверка контрольных сумм с выходными данными и распределение выходной информации.
Разделение обязанностей аналитиков, программистов и операторов имеет большое значение. Общий подход заключается в том, что разработчик системы не должен выполнять технические функции программирования, а программист не должен работать оператором по обработке данных. Работники, выполняющие одну из функций, не должны иметь доступа к другим функциям и только операторам разрешен доступ к аппаратным средствам. Компьютерные системы чувствительны к управляющим воздействиям, поэтому отсутствие разделения функций следует рассматривать как серьезный недостаток общего контроля.
Важнейшими аспектами являются также физическая защита и ограничение доступа к файлам и аппаратным средствам. Следует помнить, что доступ к компьютеру возможен через терминал, находящийся на значительном удалении от него. Контроль доступа позволяет предотвратить ошибочное использование или изменение файлов данных, несанкционированное или неправильное использование программных и аппаратных средств.
Пример. Программист крупной ссудо-сберегательной ассоциации создал специальную подпрограмму, которая инициировалась командой с пульта компьютера. При расчете процента по вкладам и ценным бумагам та подпрограмма изменяла главную программу так, что отбрасываемые при округлении десятые доли цента суммировались и после завершения процесса обработки зачислялись на личный счет программиста. Каждый раз при выполнении расчета процента программист, таким образом, зарабатывал по нескольку сот долларов Выполнение этой операции “должным образом”, т.е. так, чтобы группа контроля не могла обнаружить переплаты по контрольным суммам, требовало присутствия программисте при проведении расчетов. Такую возможность ему давало совмещение функций программиста и оператора.
В функции библиотекаря или библиотечной программы входит контроль доступа к системной документации, программам и файлам данных при помощи журнала регистрации или пароля. Лица, имеющие доступ и к документации, и к файлам данных, могут владеть информацией, достаточной для изменения данных и программ в своих целях.
Запирание дверей, систему пропусков, паролей и журналов регистрации (включая те, которые ведутся в компьютере) можно использовать для ограничения доступа к аппаратным средствам. Четкий график выполнения прикладных задач — другой способ обнаружения несанкционированного доступа, поскольку генерируемые компьютерной системой отчеты можно проанализировать и, в случаях нарушения расписания, провести расследование.
Слабость или полное отсутствие организационного контроля и контроля доступа понижает общую целостность вычислительной системы. При наличии таких недостатков аудиторам следует определить их воздействие на оценку риска неэффективности контроля в целом.
Некоторые типовые вопросы, задаваемые аудиторами при оценке системы контроля, приведены ниже. Полный же перечень вопросов составляет одну из методик анализа и документирования организации контроля доступа к объекту компьютерной системы.
Документация и развития системы. Документация — это описание основных элементов системы обработки данных.
Документация по компьютерной системе предназначена для использования:
- администрацией в качестве материала для оценки предложенных прикладных программ;
- пользователями в качестве пояснительного материала;
- новыми сотрудниками в качестве описания истории развития прикладных программ и руководства для дальнейшего совершенствования;
- в качестве источника информации по функционированию прикладных программ;
- в качестве источника информации для оценки системы контроля;
- в качестве инструкций по эксплуатации;
- в качестве детального описания алгоритма обработки данных для упрощения процесса корректировки программ;
- в качестве базовой информации для планирования проверок и применения аудиторских программных средств или других методов аудита.
Анализ документации позволяет аудиторам составить представление о сущности системы и оценить адекватность самой документации. Чрезвычайно важным аспектом анализа является выделение стандартов на разработку системы и документацию, установленные проверяемой фирмой. Отсутствие оформленных стандартов крайне затрудняет определение адекватности документации и контроля за разработкой системы.
Подготовленная администрацией инструкция со стандартами по разработке системы и документации должна предусматривать:
1) соответствующее участие пользователей в разработке системы и ее совершенствовании;
2) анализ технических требований к системе;
3) согласование с руководством отделов пользователей и отдела по обработке данных;
4) контроль и возможность аудита.
При наличии подобной инструкции аудиторы сначала оценивают адекватность стандартов, а затем определяют соответствие документации этим стандартам. Выполненный таким образом анализ фактически представляет собой аудиторское тестирование стандартов и дает представление о принципах работы системы.
С точки зрения бухгалтерских задач наибольший интерес для аудиторов представляют следующие элементы: описание задач, определение проблем, описание программ, записи о приемных испытаниях, инструкции для операторов, руководство для отделов пользователей, журнал учета изменений и модификаций, а также распечатки результатов контроля. Например, описание задачи обычно содержит блок-схему системы, описание входных и выходных данных, формата записей, перечни компьютерных кодов и сведения об особенностях контроля. Блок-схема зачастую может служить рабочей схемой аудиторской проверки, на которой можно проследить цепочки операций и отметить точки контроля. Копии форматов записей файлов существенных данных часто используют при машинном аудите.
Описание программ должно содержать блок-схему, распечатку текста на языке программирования (например, на языке КОБОЛ) и сообщения обо всех внесенных изменениях. Анализ описания позволяет аудиторам установить наличие элементов программного контроля, например проверки достоверности входных данных, которая рассмотрена ниже. Записи о приемных испытаниях могут содержать данные, необходимые для выполнения аудиторских процедур. В руководстве для пользователей должны быть описаны немашинные процедуры и меры контроля для отделов пользователей, которые выполняют операции и получают выходные данные. Журнал учета изменений и модификаций важен для проверки адекватности работы прикладных программ и наличия соответствующих санкций на внесение всех изменений и модификаций.
Большое значение имеет также раздел контроля документации, в который включают описание всех средств контроля, присутствующих в других разделах, а также элементы немашинного контроля. Внимательное изучение этого раздела дает представление о всей системе контроля выполнения операций каждой конкретной задачи, а также о применении общих процедур контроля для отдельных задач.
Аппаратные средства. Современное компьютерное оборудование отличается высокой надежностью, а не обнаруживаемые сбои из-за отказа аппаратуры относительно редки. Аудитору вовсе не обязательно быть специалистом по компьютерным системам, чтобы освоить некоторые элементы контроля аппаратных средств и беседовать с персоналом вычислительного центра на одном языке.
Наиболее важен для контроля аппаратных средств так называемый контроль четности, включаемый в настоящее время во все компьютеры. Контроль четности позволяет предотвратить искажение данных в компьютере при их перемещении между ячейками памяти. В качестве дополнительного средства используют так называемый эхо-контроль. Он заключается в считывании данных с магнитного носителя после записи и сопоставлении их с исходными данными. Многие компьютеры снабжены также спаренными схемами, которые выполняют арифметические операции дважды. Аудиторы, как впрочем, и администрация, не в силах изменить ситуацию при отсутствии подобных средств контроля, их внимание в этом случае должно быть сосредоточено на процедурах, выполняемых операторами при появлении ошибок. Современные компьютеры обладают встроенными средствами самодиагностики, а от тех, кто использует компьютерные системы, требуется только разработка процедур, которые определяют необходимые действия персонала в отношении всех разновидностей сбоя. Все сбои подлежат регистрации наряду с причинами, их вызывающими, а также мерами по их устранению.
Другой важной областью для аудитора является система профилактики. Аудиторам следует установить наличие графика технического обслуживания, определить точность его выполнения и правильность регистрации. Техническое обслуживание чаще всего выполняет по контракту поставщик компьютера. В этом случае аудиторам необходимо проанализировать содержание контракта, а также записей о проведении регулярных профилактических работ. Общую информацию о надежности аппаратных средств можно получить также из отчетов об эксплуатации и журналов учета простоев.
Контроль и защита файлов данных и программ. Контроль физического доступа к аппаратным средствам уже был рассмотрен в сочетании с организационным контролем. Не меньшее значение имеет также контроль доступа и использования файлов данных и программ, равно как и их защита. Возможность потери информации на магнитном носителе в результате удаления или затирания обусловливает необходимость контроля правильности использования файлов и, кроме того, резервного копирования данных и программ.
Резервное копирование включает в себя дублирование файлов, программ и документации, что позволяет восстановить главные файлы в случае их потери и продолжить обработку данных в другом месте, если вычислительный центр пострадал, например, в результате стихийного бедствия. Резервные копии, таким образом, следует хранить отдельно от компьютера.
Ниже рассмотрены основные методы и процедуры обеспечения защиты и сохранности данных.
Этикетки — это бумажные ярлыки на перфокартах, съемных дисковых пакетах или магнитных лентах. Надпись на этикетке идентифицирует записанную информацию, например “Главный файл счетов дебиторов”, что сводит к минимуму возможность ошибочного использования файла (например, в подсчете сумм заработной платы).
Главные и концевые метки — это специальные записи на магнитных лентах или дисках, которые содержат информацию, идентичную информации на этикетках. Эти метки, называемые иногда внутренними, предотвращают ошибочное использование файла в процессе обработки. Головные метки содержат имя файла и соответствующие идентификационные коды. Концевые метки сигнализируют об окончании файла. В некоторых случаях в такие метки включают контрольные суммы для обнаружения потери данных в процессе обработки, например количество и сальдо счетов дебиторов.
Защита файлов обеспечивается различными физическими средствами: хранением носителей информации в несгораемых шкафах, хранением резервных копий в других помещениях, хранением данных на машиночитаемом носителе, в виде распечаток или микрофильмов и т.д. В большинстве случаев из-за риска потери данных страхуют программы и файлы.
Сохранение файлов на практике связано с их защитой, но в широком смысле оно образует как бы первый эшелон обороны, предотвращающий относительно небольшие потери, меры же защиты направлены против полной потери данных. В сущности, проблема заключается в восстановлении записей и файлов в случае их повреждения. Одним из наиболее распространенных подходов к сохранению файлов является так называемая концепция “Дед-отец-сын”. Концепция предполагает сохранение резервных копий файлов, например текущей и предыдущей версий главного файла. Версии наиболее важных файлов при необходимости можно сохранять до уровня “прадед”.
Файлы на дисковых носителях поддаются восстановлению труднее, чем файлы на магнитной ленте, поскольку процесс корректировки записей на них всегда связан с удалением предыдущей информации. Старые записи уничтожаются при вводе новых данных на то же место диска. Возможность восстановления обеспечивает периодический (ежедневный или еженедельный) сброс дисковых файлов на магнитную ленту. Такая копия сохраненного соответствующего файла образует уровень “отец”, а текущий дисковый файл — “сын”.
Прикладной контроль осуществляется по трем направлениям:
1) контроль входных данных;
2) контроль процесса обработки;
3) контроль выходных данных.
Наиболее слабое место компьютерных систем — эго ввод данных, в процессе которого сведения о хозяйственных операциях переносят из исходных документов на машиночитаемые карты, магнитные ленты и диски ши непосредственно вводят через устройства связи, например через удаленные терминалы. Бели введены искаженные данные, то они могут пройти обработку необнаруженными, а при последующем обнаружении их корректировка затруднительна. Контроль процесса обработки связан с встроенными в главную программу подпрограммами обнаружения сбойных ситуаций. Контроль выходных данных касается в основном распространения отчетов, тем не менее, он дает последнюю возможность выявить искажения и сопоставить входные контрольные суммы с выходными.
Процедуры контроля входных данных. Контроль входных данных в определенной мере гарантирует передачу на обработку информации, которая должным образом оформлена и преобразована в машиночитаемую форму без потерь, дополнений, дублирования и других изменений. Эти процедуры применяют также для корректировки и повторного ввода данных, отвергнутых ранее, как искаженные. Ниже перечислены наиболее важные области контроля.
Официально принятие и утверждение входных данных. Вычислительный центр должен принимать на обработку только должным образом оформленные и утвержденные данные. Получение разрешения — это, как правило, канцелярская (некомпьютерная) процедура: сбор подписей или заверение печатью документа по хозяйственной операции. На выполнение же некоторых операций специального разрешения не требуется (например, в соответствии с политикой администрации — торговые сделки на сумму менее 500 Дол.) или это разрешение получают от компьютера автоматически (например, автоматическое составление заказа на поставку при уменьшении товарных запасов до заданного уровня).
Контрольные разряды. Цифровые обозначения часто используются в компьютерных системах вместо имен клиентов, поставщиков и т.п. Одним из общепринятых способов проверки достоверности чисел является вычисление контрольного разряда, который представляет собой точное дополнительное число, прикрепляемое в качестве метки к концу базисного идентификационного номера, например табельного номера служащего. Базисный код с контрольным разрядом иногда называют числом с разрядами самоконтроля. Можно снабдить устройство ввода информации специальным приспособлением или создать специальную подпрограмму, которые будут сравнивать рассчитанный контрольный разряд с контрольным разрядом входных данных. Расхождение контрольных разрядов инициирует выдачу сообщения об ошибке на дисплей или печать. Контрольные разряды применимы только для идентификационных номеров (но не для количественных или стоимостных показателей) с целью обнаружения ошибок кодирования или цифрового набора, например перестановки цифр — 387 вместо 837.
Подготовка данных. Процесс преобразования данных в машиночитаемую форму — источник многих ошибок.
Рассмотрим соответствующие процедуры контроля:
- Подсчет количества записей. Количество записей сверяют с количеством обработанных документов по хозяйственным операциям. Известное количество обработанных документов при этом сопоставляют с количеством записей в устройстве ввода информации. Расхождение сравниваемых количеств свидетельствует либо о потере данных, либо о дублировании ввода данных одного и того же документа. Количество записей используют также в качестве контрольной суммы пакета во время обработки и вывода информации, т.е. во всех случаях, когда существует возможность сопоставления известных количеств выходных данных с расчетными.
- Контрольное суммирование платежных данных пакета используют аналогично данным по количеству записей с тем лишь отличием, что контрольные суммы связаны с существенными количественными данными (например, общий объем продаж в долларах по группе счетов). Контрольные суммы могут оказаться полезными также на стадиях обработки и вывода информации.
- Контрольное суммирование всего массива данных пакета сходно с контрольным суммированием номеров с той разницей, что контрольная сумма по массиву данных не несет смысловой нагрузки с точки зрения бухгалтерских записей (например, сумма номеров счетов, переданных оператору подготовки данных). Процессы редактирования и проверки достоверности данных. Для обнаружения ошибок, допущенных при подготовке данных, могут быть использованы различные программные средства редактирования или проверки, некоторые из которых перечислены ниже.
- Тесты контроля правильности размещения символов предназначены для проверки полей входных данных и определения правильности размещения цифр в числовых полях, а также букв в символьных полях.
- Тесты контроля правильности знака обеспечивают проверку данных по полям на соответствие знакам плюс и минус.
- Тесты контроля пропусков позволяют проверить поля с целью выявления пустых мест.
- Тесты контроля последовательности служат для проверки документов по порядковым номерам, когда последовательность их размещения важна для обработки, например в пакетном режиме. Эта процедура помогает также обнаружить недостающие документы в пронумерованных рядах.
- Тесты контроля по диапазону значений и разумности результатов —
автоматизированные процедуры, которые показывают, выходят ли значения данных за установленные пределы. Например, программа расчета заработной платы может включать в себя тест контроля по диапазону, который метит и отбрасывает записи отработанного за неделю времени, если оно превышает 50 ч. Этот тест — разновидность сканирования, общей аудиторской процедуры, предусматривающей анализ данных для выявления чего-либо необычного, что может оказаться ошибкой.
Исправления ошибок и возврат данных на обработку. Ошибки — предмет особого контроля. Обычно вычислительный отдел несет ответственность только за корректировку своих собственных ошибок (ошибки подготовки данных). Ошибки других видов, вызванные, например, неправильной кодировкой, должны быть переданы на исправление в отделы-пользователи. В этом плане очень полезно организовать в группе контроля учет причин, мест появления ошибок и мер по их устранению. Без должного надзора процесс исправления ошибок сам может стать их источником.
Некоторые типовые вопросы, на которые аудиторы должны получить ответы во время анализа организации контроля входных данных, приведены ниже. Ответы на эти вопросы нужно получить для каждой существенной задачи бухгалтерского учета, выполняемой в компьютерной системе (для обработки платежных ведомостей, счетов по торговым сделкам и т.п.).
Процедуры контроля процесса обработки. Контроль процесса обработки дает определенные гарантии того, что данные будут обработаны без пропусков или повторов операций.
Большинство процедур контроля процесса обработки идентично процедурам контроля входных данных, специфические же процедуры приведены далее.
Последовательно контрольное суммирование обеспечивает проверку данных при их перемещении из одного отдела в другой или от одной программы обработки к другой. Суммирование называется последовательным, поскольку оно производится над одними и теми же данными после каждого этапа обработки. Суммировать можно количества записей пакета, платежи или весь массив данных. Полученные суммы передают на следующий этап для сравнения с его контрольными суммами.
Составление отчетов о контрольных суммах. Все контрольные суммы количества записей, платежей, всего массива данных и т.д., получаемые в процессе обработки, следует выводить на печать в виде отчета. В обязанности группы контроля или другого органа включают их сравнение и/или сверку с контрольными суммами исходных данных либо данных предыдущих стадий обработки. Такая процедура позволяет выявить потерю или дублирование данных. Например, контрольная сумма балансов дебиторских счетов в предыдущей версии главного файла плюс контрольная сумма по объему продаж в кредит в текущей версии должна быть равна контрольной сумме балансов в конце текущего процесса обработки.
Контроль файлов и операторов. Правильное использование файлов обеспечивают этикетки и внутренние метки. Программные средства должны формировать “журнал учета” команд, вводимых операторами, времени и статистики использования прикладных программ. Данные этого журнала должны анализировать контролеры.
Тесты контроля по диапазону значений и разумности результатов. Эти тесты должны исключать появление нелогичных состояний, ведущих, например, к получению суммы амортизации основных средств, превышающей их стоимость, или отрицательного количества товарных запасов. Такие состояния должны приводить к выводу сообщений об ошибке. В процессе обработки могут быть использованы и другие логические и контрольные тесты, описанные ранее.
Приведем типовые вопросы, на которые следует получить ответ в ходе анализа организации контроля процесса обработки данных.
Контроль файлов
Проверяют ли прикладные программы наличие головных и концевых меток?
Выполняется ли резервное копирование файлов на магнитной ленте и дисках в вычислительном центре и других местах?
Ведется ли документальный учет данных для тестирования, их обновления и хранятся ли они отдельно от файлов реальных данных?
Процедуры контроля выходных данных. Контроль выходных данных — это завершающий этап проверки правильности результатов компьютерной обработки. Процедуры контроля на этом этапе обеспечивают представление отчетности и доступ к файлам только уполномоченным лицам. Ниже приведены типовые процедуры контроля выходных данных.
Контрольно суммирование. Контрольные суммы выходных данных сравнивают или сверяют с результатами последовательного суммирования в течение всего процесса обработки. В обязанности группы контроля должен входить анализ контрольных сумм выходных данных и расследование случаев их отклонения.
Внесение изменений в главный файлы. В целях предотвращения распространения искажений подробный отчет о внесенных изменениях должен быть представлен в тот отдел пользователя, по инициативе которого эти изменения были внесены. Например, ошибочное изменение продажных цен может привести к неправильной оценке всех торговых сделок. Правильность данных гарантирует сверка компьютерных отчетов о внесенных изменениях с исходными документами.
Распределение выходных данных. Генерируемые системой выходные данные должны поступать только к уполномоченным лицам. Следует вести список абонентов, которые получают копии отчетов. Тиражирование отчетов должно быть строго ограниченным.
Приведем типовые вопросы, на которые следует получить ответ при анализе организации контроля выходных данных.
Оценка риска неэффективности контроля в простых компьютерных системах
Слабые места процедур контроля любой из областей — ввода, обработки и вывода данных — являются предметом особого внимания аудиторов. Тем не менее, отсутствие контроля на стадии ввода может быть компенсировано процедурами контроля на последующих стадиях. Например, если при отсутствии расчета контрольного разряда во время подготовки входных данных номера операций сравнивают с номерами главных файлов и, в случаях несовпадения, отвергают и выводят на печать в виде отчета об ошибках, то контроль можно считать удовлетворительным и эффективным. Конечно, идентификация ошибок на ранних стадиях более эффективна, чем на поздних, тем не менее, с точки зрения бухгалтерского учета и финансовой отчетности контроль можно считать удовлетворительным. Стадия, на которой применяют процедуры контроля, играет большую роль для внутренних аудиторов, заинтересованных в эффективной работе компьютерной системы.
Составной частью в вырабатываемое независимым аудитором заключение по результатам оценки риска неэффективности контроля входит анализ существенных недостатков немашинных и компьютерных процедур контроля. Отсутствие контроля входных данных может привести к их потере или дублированию, результатом слабого контроля процесса обработки может стать неправильное вычисление, размещение и классификация данных. Недостаточный контроль распределения отчетов и других выходных документов (например, передаваемых чеков) может служить источником неточностей, искажающих финансовую отчетность.
Цель анализа внутреннего контроля — понять содержание процесса обработки хозяйственных операций и определить сильные и слабые стороны контроля, которые нужно учитывать при планировании независимых аудиторских процедур. В среде компьютерной системы необходимо рассмотреть только общие процедуры контроля, если в каждую прикладную программу включены все существенные элементы компьютерного контроля. Основываясь на аудиторской документации (рабочих документах) по компьютерному и немашинному контролю, руководитель аудиторской проверки должен оценить точность и полноту процесса обработки. Аудиторская документация может содержать вопросники, примеры которых приведены в настоящей статье, и блок-схемы. Общие процедуры и меры контроля в каждой из прикладных программ следует подвергнуть аудиторскому тестированию с целью определения их эффективности.
Сложные компьютерные системы: характеристики и подходы к контролю
Простые компьютерные системы с пакетной обработкой данных обеспечивают единовременное выполнение какой-либо одной операции, например расчета заработной платы или оформление счетов. Системы высокого уровня осуществляют немедленную корректировку всех файлов данных фирмы и одновременно выполняют несколько функций. Конечно, существует также множество систем, которые занимают промежуточное положение между простыми и сложными. Так, для ввода данных используют терминалы, а информация на дисках сгруппирована для пакетной обработки; запросы, например о состоянии балансов или текущего учета товарно-материальных ценностей, вводят с терминала, а обработку осуществляют в пакетном режиме. При выполнении некоторых операций, например операции ввода распоряжения, обновление записей происходит немедленно, а другие задачи с естественным циклом, в частности расчет заработной платы, обрабатывают в пакетном режиме.
С точки зрения аппаратных и программных средств к сложным можно отнести те системы, которые характеризуются такими терминами, как режим онлайн, реальный масштаб времени, дистанционный ввод данных, распределенная обработка информации.
С позиции же оценки системы контроля к сложным относят системы (как большие, так и малые), которые обладают, по меньшей мере, одним из следующих признаков:
- передачей данных;
- интеграцией данных;
- автоматическим инициированием операций;
- временно существующими контрольными записями.
Особенности контроля. Несмотря на трудности стандартизации контроля сложных систем с передачей данных, общим элементом для всех их узлов является контроль доступа, причем наиболее важны процедуры идентификации пользователей и определения их полномочий. Неадекватность контроля даже в одном из узлов может ослабить всю систему контроля.
Интеграция данных
При пакетной обработке каждая прикладная программа создает свои собственные файлы. Например, для расчета заработной платы используют соответствующий главный файл. Часть информации этого файла (например, табельные номера работников, ставки заработной платы) может быть включена в файлы учета персонала и издержек на оплату труда. Кроме того, главные файлы в системе с пакетной обработкой становятся собственностью конкретных отделов пользователей. Все это приводит к необходимости периодической сверки идентичных полей в файлах различных отделов. Программные средства сложных компьютерных систем часто включают в себя СУБД и интегрированный главный файл, называемый базой данных (БД). В БД объединена вся информация, которая ранее хранилась в разрозненных файлах. Конкретную информацию каждого вида, например, табельные номера работников, вводят в память лишь однократно (интеграция данных), но СУБД делает ее доступной для всех программ по мере необходимости. Такая организация информации устраняет ее дублирование во множестве отдельных файлов. С отказом от традиционных файлов с одинаковым форматом записей исчезает такое понятие, как поле записи, а отдельные единицы информации (табельные номера работников, адреса, ставки заработной платы, балансы), называемые элементами данных, логически объединяются при помощи СУБД для формирования записей, которые необходимы программам для выполнения конкретной задачи. Содержащаяся в БД информация при этом становится ресурсом фирмы в целом, а не отдельного отдела пользователя. СУБД изолирует БД от прикладных программ, процедур обновления и запросов в интерактивном режиме.
Особенности контроля. СУБД содержит средства контроля, которые ограничивают доступ к БД, сформированной из отдельных элементов данных (полей) с индивидуальным местом хранения.
Уполномоченные пользователи (а также компьютерные программы) имеют доступ только к необходимым им определенным областям БД. Так, уполномоченные работники отдела заработной платы могут ввести данные об отработанных за неделю часах, что приведет к пересчету суммы выплат, но они не могут изменить ставки заработной платы.
Для поддержания контроля необходима разрешительная система, ответственность за создание которой обычно возлагают на администратора БД. В обязанности администратора БД входит определение правомерности доступа к каждому элементу БД, т.е. фактически определение доступных областей БД для отдельных пользователей.
Администратор БД, кроме того, назначает ответственных пользователей по каждому элементу БД и выполняет функции:
- проектирования содержания и организации БД, включая логическую взаимосвязь данных, стратегию физического сохранения данных и доступа к ним;
- защиты БД и ее программного обеспечения, включая контроль доступа и использования данных и СУБД, резервное копирование и восстановление данных в случае их разрушения или появления ошибок;
- контроля работы СУБД и повышения ее эффективности;
- связи с пользователями БД, решения спорных вопросов по правам собственности на данные и их использования, обучения пользователей работе с СУБД и оказания консультативной помощи в случае возникновения проблем;
- создания стандартов для описания данных и их использования, а также для ведения документации на БД и ее программные средства.
Столь высокая ответственность администратора БД обусловливает необходимость отделения его функций от разработки системного обеспечения, программирования и эксплуатации компьютерной системы.
Автоматическое инициирование операций
Это свойство, присущее лишь некоторым системам с пакетной обработкой данных, является обычным для сложных систем. Компьютер может инициировать оформление счетов, чеков, транспортных накладных и заказов на поставку без контроля со стороны человека.
Особенности контроля. Без воспринимаемого человеком документа, указывающего на выполненное компьютером действие, очень трудно оценить правильность автоматического выполнения операции. Для санкционирования выполнения операций в программы или записи вставляют определенные индикаторы (например, индикатор критического уровня товарных запасов для оформления заказа на поставку), что затрудняет определение правомерности санкционирования. Встроенные в систему процедуры контроля должны обеспечивать правильность и обоснованность автоматического выполнения операций для предотвращения ошибочных действий или их обнаружения.
Временно существующие контрольные записи
Контрольные записи в результате частого вывода данных на печать и исходные документы для ввода данных с клавиатуры, характерные для простых систем, исчезают по мере усложнения системы. Их заменяют автоматизированный сбор данных, микрофильмы или машиночитаемые носители информации. Для любой сложной системы необходимы контрольные записи на случай сбоев передачи информации или отключения энергии, однако продолжительность их существования может быть небольшой, а информация может быть доступной только в машиночитаемой форме.
Особенности контроля. На этапе разработки системы, подготовки к ее аренде или приобретению в технические условия следует включить требование о формировании контрольных записей, обеспечивающих возможность аудиторской проверки и контроля. Потеря документов и отчетов и временный характер контрольных записей могут потребовать от аудиторов изменения как распределения во времени, так и содержания аудиторских процедур. Необходимо тесное сотрудничество и координация действий между внешними и внутренними аудиторами.
Процессор контролирует удаленный терминал-источник сообщений, выполняет предварительное редактирование информации, проверяет полномочия и идентифицирует тип операции. В зависимости от кода операции инициируют определенный модуль, например программу обновления данных по заработной плате. Такие модули редактируют данные об операции для устранения ошибок ввода. Операция запроса без изменения элементов данных в БД связана с менее сложными модулями. Все операции должны проходить через СУБД, которая тестирует разрешение и делает доступными определенные элементы БД. Подобные системы требуют сложных аппаратных и программных средств.
Среда микро мини компьютерной системы
Термин “микро миникомпьютер” использован в настоящей статье для описания семейства компьютеров, к которому относятся малые компьютеры для решения коммерческих задач, микрокомпьютеры и интеллектуальные терминалы. Эти малые компьютеры могут обладать как одной из характеристик сложных систем, так и всеми.
При оценке риска неэффективности контроля следует учитывать факты использования микро миникомпьютеров для обработки данных. Поскольку цели контроля не меняются, вопросники внутреннего контроля, приведенные в этой статье, и методы аудита сохраняют свою силу при условии учета особенностей среды микро мини компьютерной системы. Далее изложены подходы к модифицированию вопросников, блок-схем и методов аудита применительно к характерным проблемам и средствам контроля миникомпьютеров.
Основные характеристики
Микро миникомпьютеры могут входить в качестве составляющих в распределенные или централизованные системы для обработки коммерческой информации, которым посвящен данный раздел.
С точки зрения аудитора важна не собственно компьютерная технология, а среда контроля, которая для систем на базе микро миникомпьютеров имеет следующие особенности:
- Отсутствие разделения функций между вычислительным центром и отделами пользователями. Персонал бухгалтерии может создавать и утверждать исходные документы, вводить данные в систему, управлять работой компьютера и использовать выходные отчеты.
- Местонахождение компьютера. Компьютер обычно расположен в помещении бухгалтерии.
- Отсутствие разделения функций внутри вычислительного центра. Численность “технического” персонала по обработке данных сильно ограничена.
- Ограниченность знаний в области компьютерной техники. Лицо, ответственное за обработку бухгалтерской информации, не является специалистом в области компьютерной технологии.
Во многих случаях среда микро мини компьютерной системы характеризуется также наличием:
- сервисных программ для ввода и изменения данных;
- дискет (гибких дисков), используемых в качестве накопителей бухгалтерской информации;
- терминалов для ввода данных, запросов и выполнения других функций в диалоговом режиме;
- пакетов программ — распространены готовые пакеты программ;
- документации — доступная документация по системному и программному обеспечению, по эксплуатации и т.п. может быть ограниченной, либо вовсе отсутствовать.
В микро мини компьютерной системе с описанными выше характеристиками наиболее существенным недостатком контроля является отсутствие разделения обязанностей. Этот недостаток может сочетаться также с отсутствием процедур контроля в операционной системе и прикладных программах. Простое включение компьютера может обеспечить доступ ко всем файлам и программам без соответствующей записи об использовании.
Подходы к организации контроля микро – мини компьютерных систем
Поскольку большинство проблем контроля обусловлено отсутствием разделения обязанностей и процедур компьютерного контроля, аудиторы направляют свои действия, в основном, на преодоление этих недостатков. Аудиторам следует рассмотреть структуру контроля в целом, включая средства немашинного контроля, для определения возможностей компенсации очевидных недостатков. Особенности организации и методов контроля рассмотрены ниже аналогично процедурам общего контроля по трем направлениям — организация контроля, обработка данных, разработка и совершенствование системы.
Процедуры организационного контроля. Среда микро мини компьютерной системы сходна с бухгалтерией, в штате которой всего один бухгалтер, поскольку системный анализ, проектирование и программирование выполняют один-два специалиста. Основные методы контроля направлены на максимально возможное снижение концентрации функций и организацию соответствующего надзора. Ниже приведены дополнительные процедуры, которые позволяют компенсировать негативное влияние отсутствия разделения обязанностей.
Процедуры контроля процесса обработки. В микро и мини компьютерной системе, работающей в диалоговом режиме, наиболее существенным является контроль ввода бухгалтерских данных, который включает в себя следующие методы.
Ограничение доступа к устройствам ввода. Терминалы системы следует запирать, а ключи хранить под контролем. Необходимо строго соблюдать режим применения паролей различных уровней для ограничения доступа к файлам, средствам инициирования изменений и программам активизации.
Стандартные экраны и компьютерные подсказки. Программу следует составить так, чтобы при выполнении конкретной функции компьютер выводил на экран бланк стандартного формата. Заполнение всех пропусков в предлагаемом порядке гарантирует полноту ввода данных до начала их обработки.
Редактирование в диалоговом режиме и визуальный контроль. Во время ввода информации в микро мини компьютерную систему могут быть использованы рассмотренные ранее процедуры редактирования и проверки правильности исходных данных. Некоторые системы не сбрасывают экранные данные в память до тех пор, пока оператор не проконтролирует их визуально и не даст команду на продолжение работы.
Процедуры контроля процесса обработки. Процесс обработки можно контролировать при помощи специально создаваемых файлов в соответствии с концепцией “ Дед-отец-сын” для систем с пакетной обработкой информации.
Далее приведены процедуры, которые позволяют поддерживать баланс обработанных данных, контрольные записи и обеспечивают восстановление информации в случае ее потери.
Журналы учета операций. Данные по операциям, вводимые с терминала, следует автоматически фиксировать в компьютерном журнале учета. Записи журналов (отдельно для каждого терминала или каждого класса терминалов) представляют в виде, эквивалентном контрольным суммам пакета (количество операций, контрольные платежные суммы, контрольные суммы по всему массиву данных).
Контрольные суммы. В главные файлы следует включать сведения о суммарном числе записей и контрольных платежных суммах. Обновление файла должно автоматически приводить к изменению этих сведений.
Баланс входных и выходных данных. Итог по операциям за день и контрольные суммы главных файлов в микро и мини компьютере должны быть сбалансированы с немашинными контрольными суммами бухгалтерии. При невозможности составления такого внешнего, по отношению к компьютерной системе, баланса можно использовать методы, аналогичные аналитическим аудиторским процедурам.
Контрольные записи. Компьютерные журналы учета операций и периодический вывод на печать главных файлов являются средством, как формирования контрольных записей, так и восстановления данных. Системные программы некоторых микро миникомпьютеров, кроме того, обеспечивают ведение журналов учета доступа ко всем файлам, а также всех выполненных операций.
Разработка и совершенствование системы
Цели и методы контроля микро мини компьютерных систем идентичны целям и методам контроля больших систем, несмотря на различие сред. Разработчики и поставщики готовых прикладных программ не всегда имеют полное представление о методах автоматизированного контроля, что приводит к необходимости тщательного изучения и испытания покупных программных продуктов перед их внедрением.
Легкие для освоения языки программирования (РПГ, БЕЙСИК) позволяют пользователям выполнять определенные функции программистов. Большинство микрокомпьютерных систем ориентированы на работу с использованием меню, что значительно упрощает взаимодействие с ними без специальной подготовки. Более того, программирование осуществляют на интерактивном языке, который включен в библиотеку программ в форме легко изменяемого исходного шаблона. В этих условиях существенно возрастает значение стандартов по разработке систем и организация процесса получения разрешения на внесение в них изменений. Возможность программирования непосредственно с терминалов требует введения специальных паролей для доступа к программам.
Аудиторские программные средства общего назначения непригодны для микро мини компьютерных систем. Тем не менее, во многих случаях аудиторы могут использовать сервисные программы выборки данных и системы поиска для своих целей.