Постановление МИНИСТЕРСТВА ФИНАНСОВ РЕСПУБЛИКИ БЕЛАРУСЬ
23 марта 2004 г. № 38
ОБ УТВЕРЖДЕНИИ ПРАВИЛ АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ
В соответствии с Положением о Министерстве финансов Республики
Беларусь, утвержденным постановлением Совета Министров Республики
Беларусь от 31 октября 2001 г. № 1585, Министерство финансов
Республики Беларусь ПОСТАНОВЛЯЕТ:
Утвердить прилагаемые правила аудиторской деятельности "Оценка
риска и внутренний контроль в условиях компьютерной обработки
данных".
Министр Н.П.Корбут
УТВЕРЖДЕНО
Постановление
Министерства финансов
Республики Беларусь
23.03.2004 № 38
ПРАВИЛА
аудиторской деятельности
"Оценка риска и внутренний контроль в условиях компьютерной
обработки данных"
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Целью правил аудиторской деятельности "Оценка риска и
внутренний контроль в условиях компьютерной обработки данных" (далее
- Правила) является определение рисков аудиторской организации или
аудитора - индивидуального предпринимателя (далее - аудиторская
организация), возникающих при проведении аудита бухгалтерской
(финансовой) отчетности, обусловленных влиянием системы компьютерной
обработки данных (далее - КОД).
2. Задачами настоящих Правил является описание:
рисков, возникающих вследствие использования аудируемым лицом
системы КОД;
внутреннего контроля в условиях КОД;
процедур проверки аудиторской организацией надежности
внутреннего контроля за системой КОД.
3. Требования настоящих Правил являются обязательными для
аудиторских организаций и аудируемых лиц.
ГЛАВА 2
РИСКИ, ВОЗНИКАЮЩИЕ ВСЛЕДСТВИЕ ИСПОЛЬЗОВАНИЯ
АУДИРУЕМЫМ ЛИЦОМ СИСТЕМЫ КОД
4. Применение аудируемым лицом системы КОД существенно влияет
на системы бухгалтерского учета и внутреннего контроля, внося в них
дополнительные риски, обусловленные следующими организационными
особенностями системы КОД:
концентрация управленческих, контрольных и исполнительских
функций;
необходимость соответствующей квалификации персонала;
концентрация данных и программ для их обработки;
использование специального программного обеспечения.
5. Внедрение системы КОД, как правило, предполагает
значительное сокращение численности персонала, занимающегося
обработкой данных бухгалтерского учета, что приводит к концентрации
управленческих, контрольных и исполнительских функций у
ограниченного числа работников и, как следствие, к увеличению
вероятности внесения искажений в программы или данные в процессе их
обработки и хранения. Отсутствие механизма контроля, основанного на
разделении функций между работниками, может существенно повысить
риск возникновения ошибки в условиях, когда другие средства контроля
за доступом к данным используются недостаточно полно.
6. Внедрение системы КОД на предприятии предполагает наличие у
персонала, занятого компьютерной обработкой данных бухгалтерского
учета, необходимых знаний и навыков, так как вследствие
неквалифицированных действий работников повышаются риски, связанные
с возможностью искажения и потери данных, нанесением ущерба
программному обеспечению.
7. Концентрация (сосредоточение) базы данных бухгалтерского
учета на одном или нескольких компьютерах, где она обычно хранится
вместе с программами, обеспечивающими доступ к ней, повышает риск
изменения или утраты информации вследствие несанкционированного
доступа к системе КОД.
8. В системах КОД может использоваться различное программное
обеспечение, в том числе и нелицензионное. Использование
нелицензионного программного обеспечения повышает риск искажения
данных бухгалтерского учета, поскольку такие программы приобретаются
без необходимой пояснительной документации, не обновляются в
плановом порядке и могут содержать невыявленные ошибки.
9. Использование системы КОД изменяет процедуры записи данных
бухгалтерского учета и расширяет круг лиц, имеющих доступ к
бухгалтерским записям, обусловливая тем самым появление в системе
бухгалтерского учета рисков, связанных со следующими особенностями
обработки данных бухгалтерского учета в системе КОД:
отсутствие первичных документов;
отсутствие возможности наблюдения за бухгалтерскими
операциями;
отсутствие регистров бухгалтерского учета;
несанкционированный доступ к базе данных и программам системы
КОД.
10. Отсутствие первичных документов является следствием того,
что в условиях КОД данные могут вводиться непосредственно в
компьютер без составления соответствующих первичных документов.
Получение разрешений на совершение тех или иных операций, их
визирование могут также проводиться внутри системы КОД без
составления специальных документов на бумажных носителях.
11. Отсутствие возможности наблюдения за бухгалтерскими
операциями вызвано тем, что некоторые учетные данные могут
находиться только в электронном виде, при этом бумажные регистры,
содержащие последовательные записи всех операций, могут
отсутствовать. Это затрудняет наблюдение за разноской учетных данных
по регистрам, их закрытием и составлением бухгалтерской отчетности.
Кроме того, ряд информационных систем не предусматривает
архивирование промежуточных записей и данных, а текущая информация в
них постоянно обновляется.
12. В некоторых системах КОД могут формироваться только сводные
регистры и формы отчетности, а не промежуточные регистры
бухгалтерского учета. Отсутствие регистров бухгалтерского учета
приводит к тому, что доступ к данным становится возможным только
через систему КОД. Тем самым существенно снижаются возможности
контроля и анализа учетной информации.
13. Доступ к базам данных и программам системы КОД возможен как
с компьютеров, на которых они установлены, так и с компьютеров,
подключенных к сети, в связи с чем возникает вероятность
несанкционированного доступа к базам данных и программам системы
КОД. В отсутствие специальных процедур контроля легкость доступа
широкого круга лиц к системе КОД увеличивает риск
несанкционированных бухгалтерских записей и изменения данных.
14. Применение системы КОД существенно влияет как на
организацию бухгалтерского учета в целом, так и на отдельные
процедуры учета. Это вызвано следующими особенностями, присущими
системе КОД:
заданность выполнения операций;
автоматический контроль;
одновременное обновление данных в различных компьютерных файлах
или в базах данных;
операции, генерируемые внутри системы КОД, или автоматические
записи;
трудности в обеспечении сохранности информации.
15. Системы КОД не допускают технических и счетных ошибок,
потенциально они являются более надежными, чем ручные системы, при
условии, что все виды операций учтены и введены в систему. Однако
работа системы КОД лишена возможности гибкого реагирования на
изменения правил учета и условий деятельности аудируемого лица, так
как построена на основе ранее заданных алгоритмов, а надежность
информации, обработанной в системе КОД, полностью зависит от ее
построения и программного обеспечения.
16. Система КОД позволяет автоматизировать многие контрольные
процедуры с помощью специальных программ, которые невозможно
проследить, в отличие от процедур ручного контроля. Например, защита
данных от несанкционированного доступа может обеспечиваться с
помощью паролей. Система паролей заменяет разрешительные подписи и
ведет к отказу от составления специальных документов, которые
необходимо визировать. Контроль за ошибками и их исправлением путем
составления справок, сличительных и оборотных ведомостей может быть
заменен автоматическим формированием отчета о найденных программой
ошибках.
17. Одновременное обновление данных в различных компьютерных
файлах или в базах данных является следствием того, что в условиях
КОД ввод данных по одной операции может одновременно изменить
несколько связанных с ней счетов. Например, отгрузка готовой
продукции обусловливает одновременные записи по счетам готовой
продукции, расчетов, реализации. Данная особенность систем КОД
значительно увеличивает влияние ошибки ввода данных на бухгалтерскую
отчетность, так как неверная сумма будет проведена сразу по
нескольким счетам бухгалтерского учета.
18. Некоторые проводки могут генерироваться системой КОД
самостоятельно, без участия специалистов и без составления первичных
документов, например автоматическое начисление процентов на
задолженность покупателей или по займам. Это может привести к
появлению несанкционированных записей и расчетов, которые сложно
обнаружить из-за отсутствия специальных регистров или документов.
19. Сложности в обеспечении сохранности информации связаны с
тем, что многие базы данных могут храниться только в электронном
виде. Это увеличивает риск их утраты вследствие порчи компьютеров и
электронных носителей информации, заражения их компьютерными
вирусами, несанкционированного проникновения в информационные
системы.
ГЛАВА 3
ВНУТРЕННИЙ КОНТРОЛЬ В УСЛОВИЯХ КОД
20. Внутренний контроль в условиях применения системы КОД
должен сочетать обычные методы контроля, применяемые в отсутствие
системы КОД, и специальные программные средства контроля. Целью
внутреннего контроля за системой КОД является обеспечение
достаточной уверенности в надежности обработки финансовой информации
в системе КОД. Внутренний контроль за системой КОД можно разделить
на общий и специальный.
21. Общий контроль за системой КОД представляет собой
совокупность процедур проверки правил работы и надежности
функционирования системы КОД и включает в себя:
организационный и управленческий контроль, который
предусматривает создание инструкций и правил для реализации
различных контрольных функций, а также соответствующее разделение
полномочий при их выполнении;
контроль за использованием и развитием системы КОД, который
состоит в проверке того, что все операции с системой КОД и вносимые
в нее изменения надлежащим образом разрешены. Применение такого
контроля необходимо в случаях тестирования, преобразования и
внедрения новых или модифицированных систем КОД, предоставления
доступа к их документации, изменений в системах прикладных
программ;
контроль за работой компьютеров, который предполагает проверку
использования в системе КОД только программ, связанных с прямыми
обязанностями работников, предоставления доступа к компьютерным
операциям только уполномоченным лицам, своевременного выявления и
исправления ошибок обработки данных, а также использования самой
системы только в предусмотренных целях;
контроль за программным обеспечением, который предполагает
проверку того, что аудируемым лицом приобретается или
разрабатывается только адаптированное к требованиям законодательства
Республики Беларусь и эффективное программное обеспечение. С этой
целью анализируется система визирования, тестирования, внедрения и
документирования новых и модифицированных программ, а также порядок
предоставления доступа к программам и документации;
контроль за вводом и обработкой данных, который заключается в
проверке существования системы предварительного визирования
уполномоченными лицами операций до их ввода в систему КОД и
осуществления ввода информации только уполномоченными лицами;
иные приемы общего контроля, например такие, как проверка
возможности внесистемного резервного копирования (архивирования) баз
данных и компьютерных программ, восстановления информации или
извлечения ее из архивов при утрате или уничтожении, обеспечения
обработки данных вне системы в случае общесистемного сбоя.
22. Специальный контроль за системой КОД представляет собой
совокупность специальных процедур контроля прикладных учетных
программ, позволяющих удостовериться, что все операции должным
образом авторизуются и обрабатываются полностью, точно и
своевременно. Специальный контроль за системой КОД включает в себя:
контроль за вводом, который предназначен для обеспечения
достаточной уверенности в том, что все операции санкционированы до
момента их обработки на компьютере, информация вводится в базу
данных аккуратно, без ошибок и повторов, неправильные операции
отклоняются, ошибки ввода своевременно выявляются и по возможности
исправляются системой;
контроль за обработкой и хранением информации, который
предназначен для обеспечения достаточной уверенности в том, что
операции, включая те, которые генерируются системой самостоятельно,
надлежащим образом обрабатываются компьютером, операции не теряются,
не дополняются, не дублируются и ошибочно не изменяются, ошибки
обработки данных своевременно обнаруживаются и исправляются;
контроль за результатами обработки информации, который
предназначен для обеспечения достаточной уверенности в том, что
результаты обработки точны и должным образом оформлены, результаты
своевременно передаются соответствующим пользователям, доступ к
результатам предоставлен только уполномоченным лицам.
ГЛАВА 4
ПРОЦЕДУРЫ ПРОВЕРКИ АУДИТОРСКОЙ ОРГАНИЗАЦИЕЙ НАДЕЖНОСТИ
ВНУТРЕННЕГО КОНТРОЛЯ ЗА СИСТЕМОЙ КОД
23. На этапе планирования аудита аудиторской организации
необходимо оценить надежность внутреннего контроля за системой КОД,
поскольку эффективная система внутреннего контроля существенно
снижает вероятность искажения бухгалтерской (финансовой) отчетности.
При этом аудиторской организации следует руководствоваться правилами
аудиторской деятельности "Аудит в условиях компьютерной обработки
данных", утвержденными постановлением Министерства финансов
Республики Беларусь от 18 декабря 2002 г. № 163 (Национальный реестр
правовых актов Республики Беларусь, 2003 г., № 5, 8/8919).
24. Аудиторская организация вправе не проводить проверку
надежности внутреннего контроля за системой КОД, если объем
деятельности аудируемого лица невелик или влияние системы КОД на
составление бухгалтерской (финансовой) отчетности незначительно.
Аудиторская организация вправе отказаться от проверки надежности
внутреннего контроля за системой КОД, если обработка данных ведется
не аудируемым лицом, а третьей стороной.
25. В начале проверки аудиторская организация должна
определить, насколько бухгалтерский учет аудируемого лица зависит от
системы КОД. Если аудиторская организация считает, что степень
использования системы КОД в бухгалтерском учете значительна, то
аудиторской организации необходимо провести тестирование общего
контроля за системой КОД.
26. Если аудиторская организация пришла к выводу, что общий
контроль за системой КОД неэффективен, то имеется вероятность
возникновения ошибок и риска их необнаружения в прикладных
программах. Это приводит к необходимости увеличения объема процедур
проверки по существу. Если же аудиторская организация убедилась, что
общий контроль эффективен, то следует переходить к тестированию
специального контроля за системой КОД.
27. Если специальный контроль за системой КОД регулярно
осуществляется работниками аудируемого лица, аудиторская организация
может ограничить тестирование такого контроля проведением следующих
процедур:
тестирование процедур ручного контроля, осуществляемых
работниками аудируемого лица;
тестирование контроля за выходными данными системы КОД;
тестирование запрограммированных процедур контроля.
28. Если контроль, регулярно осуществляемый работниками
аудируемого лица вручную, в состоянии обеспечить достаточную
уверенность в том, что получаемая из системы КОД информация
авторизована, полна, арифметически верна, то аудиторская организация
может принять решение ограничить проверку этой части системы
контроля наблюдением за тем, что данные контрольные процедуры
выполняются. Например, если бухгалтер, ответственный за начисление
заработной платы, систематически осуществляет предварительный
контроль за вводом данных, тестовую проверку расчетов, сверку с
суммами в ведомости по выплате заработной платы и другие контрольные
процедуры, то аудиторской организации достаточно проверить, что эти
операции выполняются.
29. Помимо проверки процедур ручного контроля, осуществляемых
работниками аудируемого лица, аудиторской организации может
понадобиться протестировать средства контроля, использующие
информацию, генерируемую компьютером или содержащуюся в компьютерных
программах. Такие средства контроля возможно проверить путем
исследования выходных данных системы с применением либо ручных, либо
компьютеризированных методов аудита. Получаемая после обработки
информация может быть представлена как на бумажных, так и на
электронных носителях. Если аудиторская организация тестирует
контроль за выводом информации путем изучения данных, представленных
на бумажном носителе, она может проводить свои тесты вручную. Если
информация представлена в электронной форме, то для проверки
целесообразно прибегнуть к использованию вспомогательных
компьютерных программ проверки.
30. В случае, если тестирование ручного контроля или контроля
за выводом информации невозможно или неэффективно, то аудиторская
организация может проверить контроль за системой КОД, используя
специальные компьютерные программы, которые имеют возможность
пересчитывать данные, полученные системой КОД аудируемого лица, либо
повторять процесс их обработки, или вводить заведомо неверную
информацию и определять, насколько надежно система КОД отвергает
такую информацию. Аудиторская организация может также проверить
программный код или провести другие процедуры контроля за работой
программного обеспечения системы КОД.
|