«МЕЖДУНАРОДНЫЕ СТАНДАРТЫ АУДИТА Рекомендовано УМО по образованию в области финансов, учета и мировой экономики в качестве учебного пособия для студентов, обучающихся по специальностям Бухгалтерский учет, анализ и аудит, ...»

• вместо традиционных ручных форм счетоводства может применяться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достоверности, совмещение синтетического учета с аналитическим и систематического с хронологическим, а также повышение оперативности и удобства использования учетной и отчетной информации.

Рекомендация аудитора в части использования той или иной системы КОД возможна только в случае, когда аудитор оказывает экономическому субъекту сопутствующую аудиту услугу по организации системы КОД по просьбе субъекта.

Экономический субъект обязан предоставить аудиторской организации необходимый доступ к системе КОД. Невыполнение (неполное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потребовать необходимые ей документы на бумажных носителях информации.

Аудитору желательно иметь представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации.

В случае отсутствия у аудитора подобных знаний следует использовать работу эксперта в области ИТ.

Аудитор должен быть способен определить, какое влияние на организацию, планирование и проведение аудита (в том числе на изучение систем бухгалтерского учета и внутреннего контроля, на оценку рисков, связанных с проведением аудита) оказывают условия использования системы КОД у проверяемого экономического субъекта.

Аудиторской организации целесообразно иметь библиотеку наиболее распространенных систем КОД и прилагать усилия к изучению особенностей их практического применения.

В случае использования работы эксперта для оценки применяемой системы КОД:

• назначение эксперта, оформление и использование результатов его работы должно полностью отвечать требованиям ПСАД «Использование работы эксперта»;

• аудитор должен иметь достаточное представление о компьютерной системе клиента в целом, с тем чтобы планировать, регулировать и контролировать работу эксперта, сохраняя главенствующее положение.

Главенствующее положение аудитора по отношению к эксперту состоит в том, что эксперт оценивает только систему обработки информации, в то время как аудитор — достоверность формируемой с помощью этой системы отчетности. Аудиторская организация не может ни передавать, ни разделять с кем-либо (в том числе с экспертом) свою ответственность за выражение мнения об отчетности и составленного на его основе аудиторского заключения.

Основной задачей эксперта является оказание помощи аудитору при проведении проверки в части:

• оценки надежности системы КОД в целом;

• оценки законности приобретения и лицензионной чистоты бухгалтерского программного обеспечения, функционирующего в системе КОД проверяемого экономического субъекта;

• проверки алгоритмов расчетов;

• формирования на компьютере необходимых аудитору регистров аналитического, синтетического учета и отчетности.

Аудитор должен изучить и оформить в виде рабочего документа все существенные вопросы организации обработки учетных данных в системе КОД экономического субъекта, отразив в нем следующие положения:

• организационную форму обработки данных, например, осуществляет обработку специальное подразделение (вычислительный центр, информационно-вычислительный центр, отдел автоматизированной системы управления предприятием) или компьютеры установлены на рабочих местах бухгалтерского персонала и обработка данных осуществляется непосредственно бухгалтерами, обработка данных ведется экономическим субъектом самостоятельно или по договору третьей стороной;

• форму бухгалтерского учета;

• разделы и участки учета, функционирующие в среде КОД;

• система КОД размещена на одном или на нескольких компьютерах;

• обработка учетных данных ведется локально на каждом компьютере или применяется сетевой вариант;

• обеспечение архивирования и хранения данных;

• данные передаются с использованием каналов связи, через внешние носители (например, дискеты) или вводятся с клавиатуры.

Аудитор должен изучить и оформить рабочим документом используемое проверяемым экономическим субъектом:

• обеспечение КОД техническими средствами;

• программное обеспечение КОД (составляется краткая характеристика, в частности, кем разработано, когда внедрено программное обеспечение КОД, частота и метод его обновления в соответствии с изменениями действующего законодательства);

• технологическое обеспечение (рекомендуется оформлять в виде схемы, состоящей из отдельных блоков технологического процесса обработки данных);

• другие виды обеспечения КОД (следует дать краткое описание иных видов обеспечения).

В рабочем документе по бухгалтерскому программному обеспечению должно быть указано наличие лицензий на каждый из его элементов.

Аудитор должен оценить и оформить рабочим документом возможности компьютерной системы в части:

• гибкого реагирования на изменения хозяйственного, налогового или иного законодательства с точки зрения настройки программного обеспечения;

• формирования бухгалтерской и внутренней управленческой отчетности;

• осуществления аналитических процедур;

• расширения функций компьютерной системы.

Аудитор должен оценить квалификацию бухгалтерского персонала в области КОД, в частности, имеют ли специалисты соответствующее высшее либо среднее специальное образование, или прошли курс обучения в области ИТ, или изучили систему КОД самостоятельно.

При составлении общего плана аудиторской проверки в соответствии с ПСАД «Планирование аудита» каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом ИТ и системы КОД. Уровень автоматизации обработки учетной информации должен быть принят во внимание при определении объема и характера аудиторских процедур.

В документах по планированию аудита должны быть отражены следующие вопросы:

• характер выполнения аудиторских процедур с использованием КОД (вывод подготовленных в среде КОД документов на печать, работа в среде КОД экономического субъекта);

• привлечение независимого эксперта с целью изучения компьютерной системы экономического субъекта, описание вынесенных для оценки экспертом вопросов.

Дата начала аудиторской проверки должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом в договоре на проведение аудита.

Организация данных бухгалтерского учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудитора повышается, если:

• компьютеризованная среда децентрализована;

• существует географическая разбросанность компьютерных установок;

• уровень знаний бухгалтерского персонала в области ИТ недостаточен;

• внутренний контроль за функционированием среды КОД отсутствует;

• не приняты необходимые меры по ограничению несанкционированного доступа в систему КОД.

Риск аудитора снижается, если:

• системы автоматизации являются лицензированными;

• имеется возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанному для аудиторов;

• существует специальный контроль программного обеспечения;

• информационную политику экономического субъекта квалифицированно определяет его руководство;

• все дочерние общества, филиалы и другие обособленные подразделения работают в единой среде КОД, применяют единое современное программное обеспечение;

• информационная политика экономического субъекта согласована с основными пользователями системы КОД;

• имеется долгосрочный план развития системы КОД экономического субъекта.

Аудитор должен оценить надежность системы внутреннего контроля проверяемого экономического субъекта в соответствии с ПСАД «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» и влияние на эту надежность действующей системы КОД:

• контроль подготовки данных как на уровне пользователя, так и на уровне компьютерной службы;

• контроль предотвращения ошибок и фальсификаций во время работы;

• контроль работы с данными (доступ, правильность, полнота), особенно с данными постоянного (нормативно-справочного) характера;

• возможность изменения программного обеспечения, особенно в части методов регистрации первичной информации;

• степень координации и взаимодействия между службой информатизации и пользователями системы КОД.

При оценке среды КОД аудитор должен охарактеризовать:

• соответствие применяемой формы учета используемой системе обработки данных;

• соответствие алгоритмов обработки бухгалтерских данных действующему законодательству и возможность изменения этих алгоритмов в случае изменения порядка ведения бухгалтерского учета, хозяйственного, налогового и иного законодательства;

• способ организации, хранения и обновления данных;

• обеспечение контроля ввода данных;

• возможность настройки внешней отчетности на изменение ее форм;

• возможность вывода на печать данных о хозяйственных операциях.

Аудитор обязан проверять соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта.

Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.

Собирая аудиторские доказательства об организации обработки учетных данных в среде КОД, аудиторские организации обязаны следовать требованиям, установленным ПСАД № 5 «Аудиторские доказательства».

Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии, в том числе фотокопии, в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в системе КОД экономического субъекта (без вывода данных на печать) рабочие документы, подтверждающие факт сбора аудиторских доказательств, аудитор составляет самостоятельно.

Рабочие документы, формируемые в процессе аудита в условиях КОД и существенно отличающиеся от обычных рабочих документов, могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация должна обеспечить сохранность аудиторских файлов на машинных носителях, их оформление и сдачу в архив. Систему идентификации рабочих документов в аудиторском файле на машинном носителе устанавливает аудиторская организация.

Целесообразно хранить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.

В условиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской процедуры, как проверка его арифметических расчетов.

Аудитору необходимо убедиться в том, что:

• регистры учета, формируемые системой КОД, соответствуют данным первичного учета (наличие системы КОД не освобождает экономического субъекта от обязанности документировать в установленном порядке факты хозяйственной жизни);

• отсутствуют несанкционированные изменения программного обеспечения (изменения, вносимые в программное обеспечение экономическим субъектом в связи с изменением хозяйственного или налогового законодательства, должны быть документированы и, как правило, согласованы, одобрены и проверены разработчиком программного обеспечения).

В условиях КОД аудит можно проводить с использованием машинно-ориентированных и (или) ручных процедур.

Машинно-ориентированные процедуры должны включать в себя:

• программные средства, применяемые аудитором для проверки содержания компьютерных файлов экономического субъекта;

• контрольные примеры, используемые аудитором для тестирования алгоритмов КОД.

При применении машинно-ориентированных процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой, выполняемой персоналом, имеющим специальные знания и навыки в условиях работы КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии, что аудитор имеет достаточную уверенность в том, что они действительно полностью соответствуют оригиналам файлов экономического субъекта.

Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

Руководством для аудиторов по использованию компьютерных методов аудита, особенно в части применения компьютерных программ и данных для тестирования, служит ПМАП 1009 «Методы аудита с помощью компьютеров». Использование компьютера в качестве инструмента аудита называют методом аудита с помощью компьютеров (МАПК).

Целью данного Положения является предоставление рекомендаций по использованию МАПК. ПМАП 1009 применяется ко всем видам использования МАПК, включая компьютеры любых видов и размеров.

В разделе «Описание методов аудита с помощью компьютеров (МАПК)» говорится, что в данном Положении описываются методы проведения аудита с помощью компьютеров, в том числе компьютерных инструментов, получивших название МАПК, которые могут быть использованы при проведении различных процедур аудита, включая детальные тесты операций и сальдо, аналитические процедуры, тесты общих средств контроля, программы осуществления отбора совокупности, обеспечивающие выбор данных для аудиторских тестов, тестирование прикладных средств контроля, пересчет данных, ранее полученных с помощью систем бухгалтерского учета субъекта.

МАПК — это компьютерные программы и данные, используемые аудитором в качестве процедур аудита, чтобы обрабатывать значимые для аудита данные, содержащиеся в информационных системах субъекта. МАПК может состоять из пакетных программ, программ специального назначения, программ-утилит и программ управления системой.

Вне зависимости от источника программ до их использования аудитор должен обосновывать их надлежащий характер и соответствие целям аудита.

Методика тестовых данных иногда используется при проведении аудита путем ввода данных в компьютерную систему субъекта и сравнения полученных результатов с заранее определенными результатами, например:

• тестируются такие конкретные средства контроля в компьютерных программах, как пароль в режиме онлайн и средства контроля за доступом к данным;

• тестируются операции, отобранные из ранее обработанных хозяйственных операций или созданные аудитором для тестирования отдельных характеристик процесса обработки, осуществляемой компьютерной системой субъекта;

• тестируются операции в интегрированных устройствах тестирования с созданием элемента «пустышки» (например, отдел или работник), на котором отражаются контрольные операции в ходе обычного цикла обработки.

Если тестовые данные обрабатываются в рамках обычного процесса обработки, аудитор должен обеспечить, чтобы контрольные операции были затем исключены из бухгалтерских записей субъекта.

Согласно разделу «Рассмотрение использования МАПК» аудитор должен при планировании аудита рассматривать соответствующую комбинацию ручных методик и методик аудита с помощью компьютеров. При принятии решения о том, использовать ли МАПК, рекомендуется учитывать следующие факторы: знания, навыки и опыт работы аудитора в области ИТ; возможность применения МАПК и наличие соответствующих компьютерных устройств; нецелесообразность применения ручных тестов; эффективность и результативность; фактор времени. В частности, аудитор должен владеть знаниями, достаточными для планирования, получения и использования результатов выбранных МАПК. Уровень необходимых знаний зависит от сложности и характера МАПК и информационной системы субъекта.

Аудитор должен рассматривать возможность применения МАПК, наличие подходящих компьютерных устройств и необходимых информационных систем, основанных на применении компьютеров, и данных. Аудитор может планировать использование других компьютерных устройств, если применение МАПК на компьютере субъекта является экономически нецелесообразным или невыполнимым, например, из-за несовместимости пакета программ аудитора и компьютера субъекта. Помощь специалистов субъекта может потребоваться для получения в удобное время возможности для обработки, а также для такой работы, как загрузка и запуск МАПК в системе субъекта, и для получения копий файлов с данными в форме, необходимой для аудитора.

Многие компьютерные информационные системы решают задачи, по результатам которых не остается визуальных доказательств, что делает невозможным выполнение аудитором тестов вручную. Отсутствие визуального доказательства может проявиться на различных стадиях процесса учета:

• первичные документы могут создаваться в электронном виде;

• такие операции, как дисконтирование и расчет процентов, могут выполняться в компьютерной программе без специального одобрения руководством отдельных операций;

• система может не предоставлять интересующих аудитора визуальных результатов операций, обработанных с помощью компьютера;

ш система может не подготавливать отчеты о полученных данных, более того, распечатанный отчет может содержать только итоговые суммы, тогда как подтверждающая подробная информация будет оставаться в компьютерных файлах.

Эффективность и результативность процедур аудита, проводимых для получения и оценки аудиторских доказательств, могут быть улучшены с использованием МАПК. Как правило, МАПК представляют собой эффективный способ тестирования большого количества операций или средств контроля в случае большой генеральной совокупности посредством анализа и отбора совокупности из большого числа операций, применения аналитических процедур и выполнения процедур проверки по существу. К соображениям эффективности, которые могут быть учтены аудитором, относятся: время планирования, разработки, применения и оценки МАПК; часы работы, затраченные на технический анализ и консультации; составление и распечатка форм; доступность компьютерных ресурсов.

Некоторые данные, например особенности хозяйственных операций, часто сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме, когда они требуются аудитору. В результате аудитор будет должен предпринять определенные действия, чтобы необходимые ему файлы были сохранены, или ему будет нужно изменить сроки работы, для которой требуются эти данные. Когда время проведения аудита ограничено, аудитор может планировать использование МАПК, потому что это может в большей мере соответствовать графику аудита, чем другие процедуры.

В разделе «Использование МАПК» перечислены основные шаги, которые необходимо предпринять аудитору при использовании МАПК:

• установить цели применения МАПК;

• определить содержание файлов субъекта и порядок доступа к ним;

• определить специфические файлы и базы данных, подлежащих тестированию;

• понять взаимоотношения между таблицами данных в тех случаях, когда база данных подлежит проверке;

• определить специальные тесты или процедуры и соответствующие операции и сальдо, на которые было оказано влияние;

• договориться с пользователями или (в случае необходимости) специалистами подразделения ИТ о предоставлении копий соответствующих файлов и таблиц базы данных, которые должны быть «остановлены» в определенный момент и на определенную дату;

• установить выходные требования;

• назначить сотрудников, которые могут принимать участие в разработке и применении МАПК;

• уточнить оценки затрат и выгод;

• убедиться, что использование МАПК надлежащим образом контролируется и документируется;

• организовать административную работу, включая необходимую квалификацию и компьютерные устройства;

• сверить данные, которые используются для МАПК, с бухгалтерскими записями;

• выполнить программное приложение МАПК;

• оценить результаты.

Специальные процедуры, необходимые для контроля за использованием МАПК, зависят от конкретного применяемого приложения.

При определении средств контроля аудитор должен рассмотреть необходимость: утверждения технических характеристик и проведения обзорной проверки работы, проводимой с использованием МАПК;

проверки общих средств субъекта, которые могут способствовать целостности МАПК; обеспечения соответствующей интеграции полученных аудитором в рамках аудита результатов в общий процесс аудита.

Процедуры, проводимые аудитором в целях контроля за применением аудиторских программ, могут включать в себя:

• участие в разработке и тестировании МАПК;

• проверку кодирования программ для обеспечения соответствия подробным программным характеристикам;

• обращение аудитора к специалистам субъекта по компьютерным системам с просьбой ознакомиться с инструкцией по операционной системе и удостовериться в том, что программное обеспечение может быть инсталлировано в компьютерной системе субъекта;

• апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;

• обеспечение использования правильных файлов, например, посредством проверки с помощью внешнего доказательства, такого, как контрольные итоговые данные, которые ведутся пользователем;

• получение доказательства того, что аудиторское программное обеспечение действует как запланировано, например, путем анализа выходящей и контрольной информации;

• принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.

Рабочие документы должны содержать достаточную документацию для описания применения МАПК, в частности: планирование (цели МАПК; рассмотрение необходимости использования конкретных МАПК; используемые средства контроля; специалисты, сроки и затраты); осуществление (подготовка МАПК и тестирование процедур и средств контроля: информация о тестах, проведенных с помощью МАПК; информация о вводных данных, обработке и результатах;

соответствующая техническая информация о бухгалтерской системе субъекта, такая, как расположение компьютерных файлов); аудиторские доказательства (полученные результаты; описание проведенной аудиторской работы в отношении результатов; аудиторские выводы);

прочее (рекомендации руководству субъекта).

В разделе «Использование МАПК в среде ИТ малого субъекта»

описаны особенности ИТ среды малого субъекта, а именно то, что:

• уровень общих средств контроля может быть таким, что аудитору придется в меньшей степени полагаться на систему внутреннего контроля (это приведет к более значительной роли детальных тестов операций и сальдо, а также аналитических процедур обзорной проверки; применению аудиторских процедур в целях обеспечения правильного функционирования МАПК и обоснованности данных субъекта);

• в случаях, когда обрабатываются небольшие объемы данных, использование некомпьютеризованных методов может оказаться более экономичным;

• аудитор может не получить достаточной технической помощи от субъекта, что делает использование МАПК невозможным;

• определенные пакетные программы могут не работать на небольших компьютерах, что ограничивает выбор аудитора в отношении МАПК. Однако файлы с данными субъекта можно скопировать и обработать на подходящем компьютере.

Российским аналогом ПМАП 1009 является ПСАД «Проведение аудита с помощью компьютеров», цель которого состоит в определении особенностей проведения аудита с применением компьютеров.

В этом стандарте нашли отражение общие требования по применению компьютеров при проведении аудита. При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита. Использование аудитором компьютера возможно как в случае ведения бухгалтерского учета экономическим субъектом вручную, так и при использовании средств автоматизации бухгалтерского учета. В первом случае аудитор должен решить проблему наличия необходимого программного обеспечения для анализа базы данных бухгалтерских записей по всем учитываемым хозяйственным операциям или по итоговым записям бухгалтерских регистров. Если у экономического субъекта весь бухгалтерский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютерных файлов) позволяет применять для ее анализа эффективные методы современных ИТ.

Аудиторской организации целесообразно вести постоянную работу по освоению новых ИТ автоматизации аудиторской деятельности.

Информационное обеспечение аудита с применением компьютеров обычно имеет два источника:

• данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;

• нормативно-справочную базу и систему форм рабочей документации аудитора.

Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена путем:

• отражения в договоре о проведении аудита согласия экономического субъекта на использование базы данных или ее фрагментов, а при необходимости также состава, формы и срока предоставления аудитору для анализа базы данных или ее фрагментов;

• включения при необходимости в систему аудита с применением компьютеров блока, обеспечивающего конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором.

Аудитор может использовать для анализа не саму базу данных (или фрагменты рабочей базы данных), а ее копию, предварительно убедившись в соответствии копии оригиналу или сделав копию базы данных самостоятельно. Нормативно-справочные данные системы, используемой аудитором для проведения аудита, должны соответствовать проверяемому периоду. Аудитор должен обеспечить конфиденциальность как полученной информации, так и информации, сформированной в ходе аудиторских процедур, а также ее защиту от несанкционированного доступа.

Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:

• анализ содержания формируемой в бухгалтерии экономического субъекта базы данных, если таковая существует и доступна;

• контроль показателей, содержащихся в регистрах бухгалтерского учета экономического субъекта;

• тестирование алгоритмов, применяемых в автоматизированной системе бухгалтерского учета;

• контроль соответствия показателей, содержащихся в формах бухгалтерской отчетности, данным бухгалтерских регистров или базы данных, формируемой в бухгалтерии при обработке первичных документов;

• использование возможностей поисково-справочных информационных систем в области нормативных и законодательных актов, регламентирующих бухгалтерский учет и аудит в Российской Федерации;

• формирование аудиторской документации (рабочей и итоговой).

Основные задачи эксперта (специалиста) заключаются в оказании помощи аудитору при проведении проверки с использованием компьютера в части:

• конвертирования данных экономического субъекта в форму, доступную для обработки в компьютерной и программной системе, используемой аудитором;

• выполнения нестандартных процедур анализа;

• тестирования системы, применяемой аудитором;

• формирования на компьютере необходимых аудитору рабочих аудиторских документов.

Аудитор должен иметь достаточное представление о компьютерной системе ведения учета и подготовки отчетности экономического субъекта в целом, с тем чтобы планировать, регулировать и контролировать работу эксперта (специалиста), сохраняя при этом главенствующее положение. При использовании работы эксперта аудитор должен следовать требованиям, установленным ПСАД «Использование работы эксперта».

Особенности планирования аудита с применением компьютеров заключаются в необходимости учесть:

• наличие в аудиторской организации необходимого обеспечения (информационного, программного, технического) как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров;

• дату начала аудиторской проверки, которая должна соответствовать дате предоставления аудитору данных в виде, согласованном с экономическим субъектом;

• факт привлечения к работе экспертов в области ИТ;

• знания, опыт и квалификацию аудитора в области ИТ;

• целесообразность использования тестов, проводимых без компьютеров;

• эффективность применения компьютера при проведении аудита.

Для планирования аудита с использованием компьютеров важно оценить систему КОД экономического субъекта, изучив следующие моменты:

• особенности информационного, программного и технического обеспечения экономического субъекта;

• особенности организационной формы обработки данных у экономического субъекта;

• разделы и участки учета, функционирующие в среде КОД;

• способ передачи данных (с использованием каналов связи, через внешние носители (например, дискеты), ввод данных с клавиатуры);

• особенности обеспечения архивирования и хранения данных;

• особенности размещения (являются рабочие места локальными или объединены в сеть).

В стандарте указано также на необходимость соблюдения аудитором требований ПСАД № 5 «Аудиторские доказательства», ПСАД «Аналитические процедуры» и ПСАД № 2«Документирование аудита» и на целесообразность иметь в аудиторской организации внутрифирменные стандарты, регламентирующие применение компьютеров при проведении аудита на этапах планирования; проведения аудита, включая сбор и отражение аудиторских доказательств; подготовки отчета аудитора.

Эффективность аудиторских процедур может быть повышена благодаря использованию компьютеров в ходе аудита при получении и оценке некоторых аудиторских доказательств в тех случаях, когда:

• проверяются большие однородные массивы данных по участкам и операциям бухгалтерского учета;

ш проверяемый экономический субъект использует унифицированную стандартную систему оформления бухгалтерских операций;

• имеется и используется информационно-поисковая система для расшифровки и подтверждения наличия соответствующих первичных документов, регистров бухгалтерского учета;

• имеется и используется автоматизированная система контроля исполнения утвержденного регламента решения соответствующих учетных задач.

Применение компьютеров позволяет аудитору провести следующие процедуры:

• тестирование операций и остатков по счетам в компьютерной базе данных;

• аналитические процедуры для выявления отклонений от обычно принятых параметров в компьютерной базе данных;

• тестирование базы данных проверяемого экономического субъекта;

• тестирование информационного, математического, программного и технического обеспечения проверяемого экономического субъекта.

Процедуры, выполняемые аудитором при использовании компьютеров для контроля, могут включать в себя:

• контроль последовательности проверяемых данных, которые проходят несколько этапов обработки;

• контроль предварительных данных;

• прогнозирование и планирование результатов проверки данных и сопоставление их с контрольными данными для отдельных операций и в целом по видам деятельности;

• подтверждение работоспособности и соответствия современным требованиям программного и аппаратного обеспечения работы аудитора при проведении аудита с применением компьютера;

• подтверждение соответствия компьютерного обеспечения проверяемого экономического субъекта действующему законодательству;

• подтверждение использования компьютеров у проверяемого экономического субъекта в период проведения аудита.

При выполнении машинно-ориентированных процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой персонала, имеющего специальные знания и навыки работы в условиях КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии, что аудитор имеет достаточную уверенность в том, что эти копии действительно полностью соответствуют оригиналам файлов экономического субъекта. Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

При использовании в ходе аудита компьютеров повышается эффективность проведения таких аудиторских процедур, как проверка арифметических расчетов и составление альтернативного баланса.

Общие принципы использования компьютеров в аудиторской проверке применимы для субъектов малого предпринимательства.

Аудитору необходимо принимать во внимание следующие особенности таких экономических субъектов:

• субъекты малого предпринимательства в отдельных случаях не применяют лицензированного программного обеспечения, используя программные продукты сомнительного качества, вследствие чего аудитор может оценить риск средств внутреннего контроля как высокий, что повлечет за собой дополнительные процедуры оценки качества программного обеспечения;

• у субъекта малого предпринимательства могут отсутствовать достаточные технические средства, например объем памяти компьютера для размещения программного обеспечения аудитора.

Доверие аудитора к эффективности системы внутреннего контроля в субъектах малого предпринимательства должно быть ниже, чем для средних и крупных экономических субъектов, по этой причине мнение аудитора о достоверности бухгалтерской отчетности должно в большей мере определяться аудиторскими процедурами по существу.

Вся база данных субъекта малого предпринимательства должна быть исследована с помощью контрольного программного обеспечения.

10.5. ОСОБЕННОСТИ АУДИТОРСКИХ ДОКАЗАТЕЛЬСТВ

ПРИ АУДИТЕ В КОМПЬЮТЕРНОЙ СРЕДЕ

Вопросы изучения и оценки системы учета и отчетности и взаимосвязанных с ней систем внутреннего контроля в случае электронной обработки данных рассматриваются в ПМАП 1008 «Оценка рисков и внутреннего контроля — характеристики КИС и связанные с ними вопросы». В Положении нашли отражение наиболее распространенные характеристики процесса электронной обработки данных, в том числе факторы, влияющие на его организационную структуру, характер обработки данных и процедуры, применяемые в системах учета и отчетности и внутреннего контроля. ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ним вопросы» представляет собой дополнение к МСА 401 «Аудит в условиях компьютерных информационных систем».

В разделе «Организационная структура», в котором описывается организационная структура КИС, отмечено о возможной концентрации функций и знаний. В таких случаях возникает ситуация, когда определенные сотрудники, занимающиеся обработкой данных, могут быть единственными сотрудниками, которые в деталях понимают взаимосвязь между источниками данных. Возникает опасность того, что эти сотрудники будут знать о слабых местах системы внутреннего контроля и смогут внести изменения в программы или данные во время их обработки и хранения. Другим нежелательным явлением может оказаться концентрация программ и данных — компьютерные программы, которые обеспечивают доступ к данным и позволяют изменять данные, обычно хранятся там же, где и данные. Следовательно, при отсутствии соответствующего контроля увеличивается вероятность несанкционированного доступа к программам, данным и их изменения.

В разделе «Характер обработки» говорится, что использование компьютеров может привести к тому, что в системе учета будет сложнее получить наглядные доказательства, чем при использовании ручных методов и процедур. Кроме того, к таким системам имеет доступ большее количество людей. Можно выделить следующие особенности обработки данных в системах КИС:

• отсутствие первичных документов (данные могут вводиться в компьютерную среду без сопроводительных документов);

• отсутствие визуального следа операции (определенные данные могут существовать только в компьютерных файлах. При ручной системе обычно есть возможность проследить операцию в системе путем оценки первичных документов, бухгалтерских книг, записей, файлов и отчетов, а в среде КИС след операции может существовать частично в машиночитаемой форме, более того, только ограниченное время);

• отсутствие визуального результата (определенные операции или результаты обработки могут не распечатываться. При ручной системе и в некоторых КИС существует возможность визуального изучения результатов обработки. В других КИС результаты обработки могут не распечатываться, либо на печать будут выводиться только сводные данные. Таким образом, отсутствие визуального результата может привести к необходимости получения доступа к данным файлов, которые могут быть прочитаны только с помощью компьютера);

• свободный доступ к данным и компьютерным программам (доступ к данным и изменение компьютерных программ может осуществляться посредством компьютера или путем использования компьютерного оборудования, находящегося в ином месте, следовательно, при отсутствии соответствующего контроля возрастает вероятность несанкционированного доступа и изменения данных и программ на предприятии или извне).

В разделе «Структурные и процедурные аспекты» дается характеристика структурных и процедурных аспектов КИС. Они включают в себя:

и последовательность выполнения (КИС выполняют свои функции в точности так, как они были запрограммированы, потенциально они более надежны, чем ручная система, при условии, что все виды операций и обстоятельства, которые могут произойти, учтены и введены в систему. В то же время компьютерная программа, которая недостаточно хорошосоставлена и протестирована, может постоянно неправильно обрабатывать операции или иные данные);

• запрограммированные процедуры контроля (характер компьютерной обработки позволяет включать процедуры внутреннего контроля в компьютерные программы. Данными процедурами может быть предусмотрено обеспечение ограниченного визуального контроля);

• единовременное обновление данных в различных компьютерных файлах или в базах данных (одноразовый ввод данных в систему учета может автоматически обновить все записи, связанные с операцией, таким образом, ошибочная проводка в подобной системе учета может привести к ошибкам в различных финансовых счетах);

• операции, генерируемые системами (определенные операции могут инициироваться самой КИС без необходимости во входящих документах, например, проценты могут подсчитываться и относиться на остатки по счетам клиентов автоматически на основе алгоритма, заложенного в программу);

• уязвимость средств хранения данных и программ (большие объемы данных и компьютерные программы, используемые для обработки информации, могут храниться на таких портативных или встроенных носителях информации, как магнитные диски и пленка. Названные носители информации могут быть украдены, утеряны, преднамеренно или случайно уничтожены).

Раздел «Внутренний контроль в среде КИС» содержит информацию о том, что внутренний контроль за компьютерной обработкой данных, который помогает достигать общих целей внутреннего контроля, включает в себя как процедуры, проводимые с помощью ручной обработки, так и процедуры, встроенные в компьютерные программы.

Указанные компьютерные процедуры контроля и процедуры контроля при ручной обработке обеспечивают общую систему контроля, действующую в среде КИС (общий контроль КИС), и конкретные средства контроля за прикладными учетными программами (контроль прикладных программ КИС).

В разделе «Общий контроль КИС» говорится, что целью общего контроля КИС является создание структуры общего контроля за деятельностью КИС и обеспечение достаточной уверенности в достижении основных целей внутреннего контроля. Общий контроль КИС может включать в себя: организационный и управленческий контроль;

контроль за развитием и эксплуатацией системы прикладных программ;

контроль за эксплуатацией компьютеров; контроль за программным обеспечением; контроль за вводом данных и программами. К другим мерам защиты КИС относятся: внесистемное резервное копирование данных и компьютерных программ; процедуры восстановления на случай кражи, утери или преднамеренного либо случайного уничтожения;

положение о внесистемных операциях в случае масштабного сбоя.

В разделе «Контроль прикладных программ КИС» дается определение цели контроля прикладных программ КИС как установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно. Контроль прикладных программ КИС включает в себя:

• контроль за вводом (предназначен для обеспечения достаточной уверенности в том, что операции должным образом санкционированы до момента их обработки на компьютере, без потерь преобразуются в машиночитаемую форму и записываются в компьютерную базу данных, неправильные операции отклоняются, корректируются и, если необходимо, своевременно вводятся повторно);

• контроль за обработкой и компьютерной базой данных (предназначен для обеспечения достаточной уверенности в том, что операции, включая операции, генерируемые системой, надлежащим образом обрабатываются компьютером, не теряются, не дополняются, не дублируются или не изменяются по ошибке, ошибки обработки своевременно выявляются и корректируются);

и контроль за результатами (предназначен для обеспечения уверенности в том, что результаты обработки точны, доступ к результатам предоставлен только уполномоченному персоналу, результаты своевременно передаются соответствующему уполномоченному персоналу).

Согласно разделу «Обзор общего контроля КИС» аудитор обязан рассмотреть, насколько влияние, которое общий контроль КИС оказывает на прикладные программы КИС, важно с точки зрения аудита. Средства общего контроля КИС, которые относятся к некоторым или ко всем прикладным программам, как правило, являются взаимозависимыми, поскольку их работа обычно существенно влияет на эффективность контроля прикладных программ КИС. Следовательно, может быть целесообразным проверить структуру общего контроля до проверки контроля прикладных программ.

В разделе «Обзор средств контроля прикладных программ КИС»

указывается, что контроль за вводом, обработкой, файлами данных и результатами могут проводить персонал КИС, пользователи системы, отдельная группа контроля или сама прикладная программа. Аудитор может счесть необходимым провести тестирование средств контроля прикладных программ, в том числе:

• контроля, осуществляемого пользователем вручную (если такой контроль прикладных программ в состоянии обеспечить достаточную уверенность в том, что результаты системы полны, точны и правомочны, аудитор может принять решение ограничить тестирование указанными средствами контроля и подвергнуть проверке только средства ручного контроля, применяемые пользователем);

• контроля над выходными данными системы (если в дополнение к средствам контроля, осуществляемым пользователем вручную, предметом тестирования являются средства контроля, использующие информацию, генерированную компьютером или содержащуюся в компьютерных программах, может оказаться возможным проверить эти средства контроля путем исследования выходных данных системы с применением либо ручных, либо компьютеризованных методов аудита. Такие выходные данные могут быть на магнитных носителях, на микрофишах или в виде распечаток, например аудитор может протестировать средства контроля, используемые субъектом применительно к сверке итоговых показателей отчетов с контрольными счетами Главной книги, и данная сверка может быть протестирована вручную.

В противном случае, если сверка осуществляется с помощью компьютера, аудитор может захотеть протестировать сверку путем повторного контроля с помощью компьютеризованных методов аудита);

• программируемых средств контроля (в случае определенных компьютерных систем для аудитора может оказаться невозможным либо в некоторых случаях практически неосуществимым протестировать средства контроля путем исследования исключительно средств контроля пользователя или выходных данных системы, например, в прикладной программе, которая не генерирует распечаток, касающихся утверждения важнейших операций или действий в обход обычной политики, аудитор может захотеть протестировать контрольные процедуры, встроенные в прикладную программу. Аудитор может рассмотреть вопрос о целесообразности проведения тестов контроля с использованием компьютеризованных методов аудита, таких, как тестовые данные, повторная обработка данных по операциям или в необычных ситуациях проверка кодирования прикладных программ).

В разделе «Оценка» говорится, что общие средства контроля КИС могут оказывать глубокое воздействие на обработку операций в прикладных программах. Если подобные средства контроля неэффективны, то может существовать риск возникновения искажений и риск необнаружения таковых в прикладных программах. Следовательно, недостатки общих средств контроля КИС могут помешать тестированию определенных прикладных средств контроля КИС; однако используемые пользователями ручные процедуры могут представлять собой эффективное средство контроля на уровне прикладных программ.

Российским аналогом ПМАП № 1008 является ПСАД «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем», цель которого заключается в определении рисков аудита, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем КОД.

Цель этого стандарта состоит в определении возникающих при проведении аудита бухгалтерской отчетности рисков аудитора, обусловленных влиянием систем КОД экономического субъекта. В соответствии с данной целью задачи стандарта заключаются в описании:

• дополнительных рисков, которые могут возникнуть при использовании КОД;

• особенностей системы внутреннего контроля в условиях КОД;

• процедур проверки надежности внутреннего контроля за системой КОД.

Российские аудиторы имеют в своем распоряжении комплексную нормативную базу для обоснования возможностей и целесообразности широкого использования ИТ в аудиторской деятельности.

Применение системы КОД существенно влияет на организационную структуру экономического субъекта, внося в систему бухгалтерского учета и внутреннего контроля такие риски, как концентрация функций управления, концентрация данных и программ для их обработки.

Внедрение системы КОД, как правило, предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций персоналу, обслуживающему систему КОД. В результате исполнительские и контрольные функции, связанные с системой КОД, концентрируются в руках ограниченного числа лиц. Разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено.

Концентрация (сосредоточение) базы данных в одном или нескольких местах, где она обычно хранится вместе с программами, обеспечивающими доступ к ней, повышает риск утери информации и несанкционированного доступа к ней.

Использование системы КОД изменяет процедуры записи учетных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям. Это может привести к появлению следующих рисков: отсутствие первичных документов; отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности; отсутствие регистров учета; доступ к базе данных и программам системы КОД несанкционированных пользователей.

В условиях КОД данные могут вводиться непосредственно в компьютер без составления соответствующих первичных документов.

Получение разрешений на совершение тех или иных операций, их визирование также могут происходить внутри системы КОД без составления специальных документов на бумажных носителях.

Учетные данные могут храниться исключительно в электронной форме, а бумажные регистры, содержащие последовательные записи всех операций,— отсутствовать, что приводит к невозможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности. Кроме того, в ряде информационных систем не предусматривается архивирование промежуточных записей, и текущая информация в этих системах постоянно обновляется.

В системе КОД могут формироваться только сводные регистры и формы отчетности, но не промежуточные регистры учета. Отсутствие регистров может привести к тому, что доступ к данным будет только через систему КОД. Тем самым существенно снижаются возможности контроля и анализа учетной информации.

Базы данных и программы системы КОД становятся доступными как с компьютеров, которые их обрабатывают, так и с других компьютеров, подключенных к сети. В отсутствие специальных процедур контроля легкость доступа к системе КОД или широкий круг лиц, которые могут такой доступ получить, увеличивают риск несанкционированных бухгалтерских записей и изменений данных.

Система КОД существенно влияет как на организацию бухгалтерского учета в целом, так и на отдельные процедуры учета. Системам КОД присущи следующие специфические черты: заданность; автоматический контроль; однократный ввод информации в несколько файлов одновременно; операции внутри системы КОД или автоматические записи; трудности в обеспечении сохранности записей.

Системы КОД не допускают технических и счетных ошибок, и в этом смысле такие системы значительно «аккуратнее», чем ручные, однако их работа «задана», они лишены возможности гибкого реагирования на изменения правил учета и условий деятельности экономического субъекта, а надежность информации, обработанной в системах КОД, полностью зависит от их построения и программного обеспечения.

Система КОД позволяет автоматизировать многие контрольные процедуры с помощью специальных программ, которые не прослеживаются (в отличие от процедур ручного контроля). Например, заменяющая разрешительные надписи система паролей ведет к отказу от составления специальных документов, заявлений, журналов, которые нужно визировать. Контроль за ошибками и их исправлением путем составления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.

В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов. Подобная особенность систем КОД значительно увеличивает влияние ошибки ввода на бухгалтерскую информацию, поскольку неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.

Некоторые проводки могут генерироваться системой КОД самостоятельно, без участия специалистов и без составления первичных документов. Это ведет к появлению несанкционированных записей и расчетов, которые к тому же сложно обнаружить из-за отсутствия специальных регистров или документов, например автоматическое начисление процентов на задолженность покупателей или по займам.

Многие базы данных могут храниться только в электронной форме, что увеличивает риск их утраты вследствие порчи компьютеров и электронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения в информационные системы.

Внутренний контроль в условиях применения системы КОД должен сочетать обычные методы контроля, используемые в отсутствие системы КОД, и специальные программные средства контроля. Все средства контроля за системой КОД можно разделить на общие и специальные.

Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности ее функционирования. Они включают в себя следующие процедуры:

• организационный и управленческий контроль, который предполагает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при выполнении этих функций, например правил ввода информации;

• контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);

• операционный контроль, который заключается в проверке того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;

• контроль за программным обеспечением, который означает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них);

• контроль за вводом и обработкой данных, который заключается в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения.

Возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.

Специальный контроль за применением системы КОД в системе бухгалтерского учета экономического субъекта предполагает специальные проверочные процедуры, позволяющие удостовериться, что все бухгалтерские операции должным образом авторизуются и отражаются в учете своевременно и без ошибок. К проверочным процедурам относят:

• контроль за вводом информации;

• контроль за обработкой и хранением информации;

• контроль за выводом информации.

Процедуры контроля ввода информации состоят из проверки выполнения следующих требований:

• вся информация, вводимая в систему, предварительно визируется;

• информация вводится в базу данных аккуратно, без ошибок и повторов;

• ошибки ввода обнаруживаются, отвергаются и по возможности исправляются системой.

Контроль за обработкой и хранением информации заключается в проверке того, что:

• операции, в том числе те, которые проводятся системой самостоятельно, выполняются верно;

• операции проводятся без ошибок и повторов;

• ошибки в обработке данных обнаруживаются и своевременно исправляются.

Контроль за выводом информации предполагает проверку того, что:

• результаты операций предоставляются авторизованным пользователям должным образом и в установленные сроки;

• доступ к предоставляемой информации разрешен только ограниченному кругу лиц.

Все виды специального контроля могут осуществляться пользователями системы КОД или отделом внутреннего контроля экономического субъекта, а также автоматически с помощью специальных программ.

Аудиторская организация тестирует систему внутреннего контроля за системой КОД, если полагает, что без проверки системы КОД не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого субъекта не содержит существенных искажений. При проверке аудиторская организация руководствуется положениями ПСАД «Аудит в условиях компьютерной обработки данных».

Аудиторская организация вправе не проверять систему внутреннего контроля за системой КОД, если объем деятельности проверяемого экономического субъекта невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.

В начале проверки аудиторская организация должна оценить, насколько существенно влияние общего контроля за компьютерной и информационной системами на их применение в бухгалтерском учете экономического субъекта. Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный контроль, если нет, то достаточно ограничиться оценкой общего контроля.

Если общий контроль эффективен, то аудиторская организация переходит к тестированию специального контроля за системой КОД бухгалтерского учета. Если же аудиторская организация сочтет, что общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. В такой ситуации аудиторская организация обязана провести тестирование процедур общего контроля, кроме случая, когда проверяемый субъект обладает надежным ручным контролем пользователей за системой КОД.

Если специальный контроль за применением системы КОД в бухгалтерском учете систематически ведет персонал проверяемого экономического субъекта, то аудиторская организация может ограничить тестирование такого контроля следующими процедурами: тестирование ручного контроля, проводимого персоналом экономического субъекта; тестирование контроля за выводом информации; тестирование программного обеспечения.

Если персонал экономического субъекта регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская организация вправе ограничить проверку системы КОД анализом выполнения персоналом экономического субъекта контрольных процедур.

Если тестирование ручного контроля или контроля за выводом информации невозможно либо неэффективно, аудиторская организация может проверить контроль за системой КОД, используя специальные компьютерные программы, которые будут пересчитывать данные, полученные системой КОД экономического субъекта, или повторять процесс их обработки, или вводить заведомо неверную информацию и определять, насколько надежно система КОД отвергает такую информацию.

Аудиторская организация может также проверить программный код или провести другие процедуры контроля за работой программ КОД.

Данный стандарт непосредственно связан со стандартами аудиторской деятельности по компьютерному аудиту. Эта взаимосвязь проявляется в том, что комментируемый ПСАД дополняет следующие стандарты:

«Аудит в условиях компьютерной обработки данных» — в части применения специальных средств контроля за информацией, в системе внутреннего контроля и бухгалтерского учета экономического субъекта;

«Проведение аудита с применением компьютеров» — в части применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта.

Нетрудно заметить, что рассматриваемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах, так и на уточнение и дополнение рекомендаций по организации компьютерного аудита.

Влияние автономных персональных компьютеров (ПК) на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также аудита приведены в ПМАП 1001 «Среда ИТ — автономные персональные компьютеры».

В разделе «Автономные ПК» говорится, что автономные ПК используются для обработки бухгалтерских операций и для подготовки отчетов, необходимых для составления финансовой отчетности, в разное время как одним, так и несколькими пользователями, имеющими доступ к различным или одинаковым программам на одном компьютере. Очень большое значение для оценки рисков и объема средств контроля, которые нужны для снижения рисков, имеет организационная структура, в которой применяется ПК.

Подходы к средствам контроля и характеристикам оборудования и программного обеспечения должны быть другими, когда речь идет о ПК, подсоединенных к другим компьютерам. Такие ситуации часто приводят к увеличению риска. Данное Положение не касается рассмотрения аудитором безопасности компьютерных сетей и средств контроля. Однако это Положение относится к ПК, присоединенному к другому компьютеру, и в то же время может быть применено к автономным рабочим станциям.

В разделе «Средства внутреннего контроля в среде автономных ПК» сказано, что ПК ориентированы на отдельных конечных пользователей. Степень точности и надежности производимой ими финансовой информации будет частично зависеть от средств контроля, принимаемых пользователем добровольно или потому, что так ему было предписано руководством.

В процессе понимания контрольной среды и, следовательно, среды ИТ для автономных ПК аудитор должен рассматривать организационную структуру субъекта и особенно распределение обязанностей по обработке данных. К таким политике и процедурам относятся:

• нормы, определяющие приобретение, внедрение и документирование;

• обучение пользователей;

• руководящие указания по безопасности, дублированию и хранению;

• управление паролями;

• правила личного пользования;

• нормы по приобретению и использованию программного обеспечения;

• нормы, устанавливающие защиту данных;

• поддержание рабочего состояния программ и техническая поддержка;

• соответствующий уровень разделения обязанностей и ответственности;

• защита от вирусов.

В связи со своими физическими характеристиками автономные ПК и их средства хранения информации подвержены кражам, физическому повреждению, неразрешенному доступу или неправильному использованию. Физически они могут быть защищены с помощью:

• запирания их на замок в защищенной комнате, кабинете или ящике;

• использования системы тревожной сигнализации;

• прикрепления ПК к столу;

• политики должного обращения с ПК во время путешествий или использования вне обычного помещения;

• шифрования основных файлов;

• установления блокирующего механизма, контролирующего доступ к выключателю;

• применения системы контроля окружения для предотвращения повреждений при естественных бедствиях.

Программы ПК и их данных могут сохраняться на съемных и несъемных средствах хранения. Пользователь обязан защищать съемные средства хранения информации.

Степень контроля и характеристики безопасности в операционных системах ПК представлены по-разному. В качестве мер ограничения доступа к программам и данным только для уполномоченных сотрудников предусмотрены:

• использование паролей;

• применение пакетов контроля доступа;

• применение скрытых директорий и файлов;

• шифрование.

В среде ПК руководство, как правило, полагается на самого пользователя, который должен гарантировать непрерывную доступность систем в случае сбоя, нарушений или уничтожения оборудования, операционных систем, программ и данных. Это подразумевает:

• что пользователь делает копии операционных систем, программ и данных;

• наличие доступа к альтернативному оборудованию в разумные сроки.

Согласно разделу «Влияние автономных ПК на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние обычно зависит:

• от степени использования ПК для обработки бухгалтерских программных приложений;

• от типа и значимости обрабатываемой финансовой информации;

• от характера используемых в программных приложениях программ и данных.

В среде ПК пользователи, как правило, могут осуществить одну или несколько функций бухгалтерской системы. Подобное отсутствие разделения функций в среде ПК может привести к невыявлению допущенных ошибок и способствовать совершению или сокрытию случаев мошенничества.

К эффективным средствам контроля относятся:

• запрограммированные средства контроля;

• система протоколов передачи данных и обеспечение целостности пакетов;

• непосредственный надзор;

• выверка количества записей и контрольных сумм.

Контроль может быть установлен независимым подразделением.

В разделе «Влияние среды автономных ПК на процедуры аудита» отмечается, что в среде автономного ПК применение достаточных средств контроля по сокращению рисков невыявления ошибок до минимального уровня может оказаться для руководства непрактичным или неэффективным по затратам. В такой ситуации, после того как аудитор получит понимание системы бухгалтерского учета и контрольной среды, аудитор может посчитать более эффективным по затратам не продолжать дальнейшую обзорную проверку общих и прикладных средств контроля, но ориентировать аудит на процедуры проверки по существу. Если уровень общих средств контроля представляется адекватным, аудитор может принять решение о применении другого подхода.

Данный ПМАП не имеет аналогов среди российских правил (стандартов) аудита.

Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также на процедуры аудита описаны в ПМАП 1002 «Среда ИТ — онлайновые компьютерные системы».

В разделе «Онлайновые компьютерные системы» говорится,, что онлайновые компьютерные системы — это системы, позволяющие пользователю получить доступ к данным и программам непосредственно через терминальные устройства. Такие системы могут состоять из компьютеров мейнфрейм, миникомпьютеров или сети соединенных между собой ПК.

Отмечается, что онлайновые компьютерные системы позволяют пользователям непосредственно инициировать различные функции, например:

• ввести хозяйственную операцию;

• запросить информацию;

• запросить отчеты;

• обновить главные файлы;

• деятельность по электронной коммерции.

Онлайновые компьютерные системы используют следующие типы терминальных устройств, которые могут существовать как локально, так и удаленно:

• терминалы общего назначения (например, базисные клавиатура и экран, интеллектуальный терминал, ПК);

• терминалы для специальных целей (например, устройства «оплаты продаж на месте», автоматические банкоматы, ручные беспроводные устройства для ввода данных из удаленных мест, системы голосового отклика).

Сотрудники, деловые партнеры, клиенты и другие третьи лица могут получить доступ к онлайновым программным приложениям организации с помощью Интернета и других услуг удаленного доступа.

Доступ к системе организации могут получить внешние стороны с помощью электронного обмена данными или других электронных коммерческих программных приложений. В дополнение к пользователям этих систем программисты могут использовать онлайновые возможности для разработки новых программ и поддержания уже существующих.

Персонал поставщиков компьютерного оборудования также может иметь онлайновый доступ для предоставления услуг по поддержанию работоспособности.

Согласно разделу «Виды онлайновых компьютерных систем»

онлайновые компьютерные системы классифицируются в соответствии с тем, как информация вводится в систему, обрабатывается и когда результаты становятся доступны пользователю. В целях данного Положения функции онлайновых компьютерных систем классифицируются следующим образом:

• обработка в режиме онлайн/режиме реального времени;

• обработка в режиме онлайн/пакетном режиме;

• режим онлайн/обновление в режиме меморандума (с последующей обработкой);

• режим онлайн/запрос;

• обработка в режиме онлайн загрузки/передачи данных.

В разделе «Характеристики онлайновых компьютерных систем»

отмечено, что такие характеристики подходят к многим типам онлайновых систем. Наиболее важные характеристики относятся к вводу данных в режиме онлайн и их подтверждению, доступу пользователей в систему в режиме онлайн, возможное отсутствие видимых последующих свидетельств операции и возможного доступа в систему лиц, не являющихся пользователями, в том числе программистов и других третьих сторон (например,, через электронную почту или Интернет).

Особенности характеристик онлайновых систем зависят от того, как создана эта система.

Онлайновая компьютерная система может быть создана таким образом, чтобы не представлять первичных документов для всех операций, введенных в систему.

Программисты имеют онлайновый доступ в систему, что позволяет им разрабатывать новые программы и изменять уже существующие. Неограниченный доступ дает возможность программистам вносить несанкционированные изменения в программы и получать несанкционированный доступ к другим частям систем, что представляет собой серьезный недочет в системе контроля. Степень такого доступа зависит от требований самой системы.

В разделе «Внутренний контроль онлайновых компьютерных систем» говорится, что прикладные программы в среде онлайн подвержены большему риску несанкционированного доступа и обновления.

Аудитор должен рассмотреть инфраструктуру безопасности, прежде чем исследовать общие и прикладные средства контроля.

Указано, что средства контроля, о которых идет речь, включают в себя использование паролей и специальных программ контроля доступа, такие, как онлайновые мониторы, обеспечивающие контроль за меню, таблицами для разрешений, паролей, файлов и программ, к которым разрешается доступ пользователей. К другим важным аспектам контроля онлайновой компьютерной системы относятся:

• средства контроля над паролями;

• средства контроля над разработкой и поддержанием системы;

• средства контроля программирования;

• протоколы регистрации операций;

При онлайновой обработке данных особенно важны некоторые прикладные средства контроля, в том числе:

• предварительное разрешение на проведение обработки данных;

• тесты терминального устройства на предмет редактирования, разумного характера данных и их проверки;

• сообщение и урегулирование случаев допущения ошибки при вводе данных;

• процедуры проверки даты отсечения;

• средства контроля за файлами;

• средства контроля главного файла;

• контроль может быть установлен независимым функциональным подразделением.

Согласно разделу «Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние зависит:

• от степени использования онлайновых систем, применяемых для обработки бухгалтерских прикладных программ;

• от типов и значимости обрабатываемых финансовых операций;

• от характеров файлов и программ, используемых приложениями.

Последствиями влияния онлайновых компьютерных систем на действенность средств контроля являются:

• возможное отсутствие первичной документации по каждой введенной операции в распечатанном виде;

• чрезмерное обобщение результатов обработки данных;

• некоторые онлайновые компьютерные системы не предусматривают предоставления распечатанных отчетов;

• то, что особую трудность для аудиторов представляют онлайновые компьютерные системы, работающие в режиме реального времени, так как очень трудно располагать данные по отношению к дате отсечения;

• то, что в случае, когда необходимо осуществить восстановление системы в режиме реального времени, трудно гарантировать полное восстановление всех данных и, что самое важное, трудно обеспечить, чтобы все интегрирующие интерфейсы системы и поступления данных были восстановлены с момента даты и времени создания резервной копии.

Как сказано в разделе «Влияние онлайновых компьютерных систем на процедуры аудита», обычно если онлайновая компьютерная система хорошо создана и правильно контролируется, то, вероятнее всего, аудитор проверит общие и прикладные средства контроля. Если эти системы ему покажутся удовлетворительными, аудитор сможет в большей мере полагаться на средства внутреннего контроля при определении характера, временных рамок и объема процедур аудита.

В этом разделе перечислены особенно важные для аудитора аспекты при работе с онлайновой компьютерной системой:

• одобрение руководством, полнота и точность онлайновых операции посредством внедрения надлежащих средств контроля в момент принятия операций на обработку;

• целостность отчетности и обработки данных в условиях имеющегося онлайнового доступа в систему у многих пользователей и программистов;

• необходимость внесения изменений в проведение процедур аудита, включая МАПК, в результате следующих аспектов:

— потребность наличия технических навыков по вопросам онлайновых компьютерных систем в команде аудиторов, — влияние онлайновой компьютерной системы на сроки проведения процедур аудита, — отсутствие видимых документальных свидетельств проведения операций, — процедуры, выполняемые во время стадии планирования аудита, — процедуры аудита, осуществляемые одновременно с онлайновой обработкой, — процедуры, выполняемые по завершении обработки.

Рассмотренное Положение также не имеет российского аналога.

Влияние системы базы данных на систему бухгалтерского учета, связанные с ней средства внутреннего контроля и процедуры аудита, описывается в ПМАП 1003 «Среда ИТ — системы баз данных».

В этом Положении определено, что база данных — это совокупность данных, совместно используемых в различных целях различными пользователями.

Согласно разделу «Системы баз данных» такие системы принципиально состоят из двух компонентов: базы данных и системы управления базой данных (СУБД). Указано, что программное обеспечение, создающее, поддерживающее и управляющее базой данных, называется программным обеспечением СУБД.

ПМАП 1003 применяется к системам баз данных, используемых в многопользовательских средах.

В разделе «Характеристики системы базы данных» говорится, что системы с базами данных различаются по двум важным характеристикам: распределение данных и независимость данных. Отмечено, что для этих характеристик обычно требуется использование словаря данных и создание управления ресурсами данных.

Как сказано в разделе «Внутренний контроль в среде базы данных», в связи с тем, что инфраструктура безопасности играет важную роль в обеспечении целостности производимой информации, аудитор должен рассмотреть инфраструктуру, прежде чем исследовать общие и прикладные средства контроля.

В системах баз данных общие средства контроля имеют, как правило, большее влияние, чем прикладные средства контроля, что связано с распределением и независимостью данных, а также другими характеристиками систем баз данных. Общие средства контроля, имеющие особую значимость в среде баз данных, можно классифицировать следующим образом:

• стандартный подход к разработке и поддержанию в рабочем состоянии прикладных программ;

• модель данных и право собственности на данные;

• доступ к базе данных;

• разделение обязанностей;

• управление ресурсами данных;

• безопасность данных и восстановление базы данных.

Согласно разделу «Влияние баз данных на систему бухгалтерского учета и соответствующие средства внутреннего контроля» подобное влияние обычно зависит от таких факторов, как:

я степень использования базы данных в бухгалтерских прикладных программах;

• виды и значимость обрабатываемых финансовых операций;

• характер и структура базы данных, СУБД (включая словарь данных), задания администрирования базой данных и прикладные программы;

• общие и прикладные средства контроля, которые особенно важны в среде базы данных.

Считается, что по сравнению с системами, не являющимися базами данных, системы баз данных более надежны. В таких системах общим средствам контроля отводится большая роль, чем прикладным средствам контроля. В результате в системах с наличием баз данных снижается риск мошенничества и ошибок в системе бухгалтерского учета. В то же время риск искажения возрастает, если системы баз данных используются без адекватных средств контроля.

В разделе «Влияние базы данных на процедуры аудита» говорится, что процедуры аудита в среде баз данных в первую очередь будут зависеть от степени использования данных из этой базы системой бухгалтерского учета. Когда важные бухгалтерские прикладные программы используют общую базу данных, аудитор может счесть эффективным по затратам использовать некоторые из следующих процедур.

Для того чтобы получить представление о контрольной среде базы данных и потоке операций, аудитор может рассмотреть влияние следующих факторов на аудиторский риск при планировании аудита:

• уместные средства контроля доступа;

• СУБД и важные прикладные средства бухгалтерского учета, использующие базы данных. Другие программные приложения, действующие у субъекта, могут генерировать или видоизменять данные, используемые бухгалтерскими приложениями. Аудитор должен учесть, каким образом СУБД контролирует эти данные;

• стандарты и процедуры разработки и функционирования прикладных программ, использующих базы данных. Базы данных, особенно находящиеся на автономных компьютерах, могут создавать и внедрять лица, не являющиеся сотрудниками ИТ или бухгалтерии и учета.

Аудитор должен рассмотреть, каким образом субъект контролирует разработку этих баз данных;

• функция управления ресурсами данных;

• должностные инструкции, стандарты и процедуры для лиц, ответственных за техническую поддержку, дизайн, управление и работу базы данных;

• процедуры, обеспечивающие целостность, безопасность и полноту финансовой информации, содержащейся в базе данных;

• наличие возможностей для проведения аудита в СУБД;

• процедуры, регулирующие внедрение новых версий базы данных.

При определении степени надежности средств внутреннего контроля в отношении использования базы данных в системе учета аудитор должен рассмотреть, как используются средства контроля. Если аудитор по ходу дела решит, что на эти системы контроля можно полагаться, то он должен разработать и осуществить надлежащие тесты.

Если аудитор принимает решение провести тестирование средств контроля или процедуры проверки по существу в отношении системы базы данных, то обычно более эффективно это можно сделать с применением методов аудита с помощью компьютеров.

Процедуры аудита могут включить в себя использование функций СУБД с тем, чтобы:

• протестировать средства контроля доступа;

• создать тестовые данные;

• обеспечить документальные свидетельства для аудита;

• проверить целостность базы данных;

• обеспечить доступ к базе данных или копии соответствующей части базы данных, чтобы была возможность использования аудиторского программного обеспечения;

• получить информацию, необходимую для аудита.

Прежде чем использовать возможности СУБД, аудитор должен рассмотреть адекватность их функционирования.

Если средства контроля над администрированием базами данных неадекватны, то аудитору может не удасться компенсировать недочеты средств контроля каким бы то ни было количеством работы по существу. Таким образом, если делается вывод о ненадежности средств контроля над системой базы данных, аудитор должен решить, смогут ли процедуры проверки по существу, примененные к основным прикладным программам бухгалтерского учета, использующим базу данных, помочь ему достичь цели аудита. Если аудитору не удается преодолеть недочеты в контрольной среде с помощью работы по существу для снижения аудиторского риска до приемлемого уровня, то согласно МСА аудитор должен дать мнение с оговоркой или отказаться от предоставления мнения.

Характеристики систем баз данных могут привести к тому, что для аудитора более эффективным будет осуществить предынсталляционную обзорную проверку новых прикладных бухгалтерских программ вместо проверки программ после инсталляции. Предварительная проверка и проверка процесса изменений, вносимых руководством, позволяют аудитору затребовать такие дополнительные функции, как встроенные функции аудита или средства контроля в рамках организации программного приложения. Кроме того, у аудитора появляется дополнительное время для заблаговременной разработки и тестирования процедур аудита по использованию системы.

ПМАП 1003 также не имеет российского аналога.

10.6. УЧЕТ ЭКОЛОГИЧЕСКИХ ВОПРОСОВ

ПРИ АУДИТЕ ФИНАНСОВОЙ ОТЧЕТНОСТИ

Целью ПМАП 1010 «Учет экологических вопросов при аудите финансовой отчетности» является оказание содействия аудиторам и распространение хорошей практики работы путем предоставления рекомендаций по применению МСА в случаях, когда экологические вопросы являются важными для финансовой отчетности субъекта.

Экологические вопросы становятся важными для все большего количества субъектов и при определенных обстоятельствах могут оказывать существенное влияние на финансовую отчетность. Такие вопросы все сильнее интересуют пользователей финансовой отчетности.

Ответственность за признание, оценку и раскрытие информации по указанным вопросам лежит на руководстве.

С 70-х годов XX в. компании ряда стран Европы и Северной Америки начали привлекаться к юридической ответственности за нанесение ущерба окружающей среде, что сопровождалось для них дополнительными финансовыми потерями и обусловило необходимость оценки соответствия осуществляемой этими компаниями деятельности нормам законодательства об охране окружающей среды. Такая оценка по определенной аналогии с финансовым аудитом получила название экологического аудита. Экологический аудит распространяется в промышленно развитых странах — Канаде, Великобритании, Нидерландах, США, Швеции.

Национальное агентство по охране окружающей среды США в 1984 г. разработало концепцию экологического аудирования для федеральных ведомств, в соответствии с которой агентства осуществляли экологический аудит Министерства энергетики США, Национального управления по аэронавтике и исследованию космического пространства (NASA). В США существенна роль экологического аудита как инструмента «более раннего» выявления экологического правонарушения.

Экологический аудит нашел применение в таких областях деятельности, как приобретение или передача недвижимости, решение проблемы отходов производства и потребления, обеспечение безопасности производимых продуктов, борьба с профессиональными заболеваниями, контроль загрязнения природных сред.

Экологическому аудиту в большей степени присущ аналитический характер. Он не дает ответа на вопрос, каким образом компания может усовершенствовать свою экологическую программу. Аудиторы лишь указывают на выявленные недостатки природоохранной деятельности, а принятие необходимых мер — обязанность управляющего компанией. Ответственность за признание, оценку и раскрытие информации по таким вопросам лежит на руководстве экономического субъекта.

В некоторых случаях экологические вопросы являются важными для субъекта и может существовать риск существенного искажения (в том числе несоответствующего раскрытия) фактов в финансовой отчетности в результате таких экологических вопросов. При таких обстоятельствах аудитор должен рассмотреть экологические вопросы при проведении аудита финансовой отчетности. Экологические вопросы могут быть комплексными и поэтому могут потребовать дополнительного рассмотрения со стороны аудитора.

Необходимость учета экологических вопросов при аудите финансовой отчетности зависит от суждения аудитора о том, повлекут ли экологические вопросы за собой риск существенного искажения финансовой отчетности. В некоторых случаях может быть сделан вывод об отсутствии необходимости в специальных аудиторских процедурах.

В других случаях аудитор использует профессиональное суждение для определения характера, сроков и объема специальных процедур, которые он считает необходимыми для получения достаточных и уместных аудиторских доказательств того, что финансовая отчетность не содержит существенных искажений. Если аудитор не обладает профессиональнои компетенцией для проведения специальных процедур, он имеет право обратиться за технической консультацией к таким специалистам, как юристы, инженеры или специалисты по экологии.

Тем не менее «...уровень профессиональной подготовки аудитора, его опыт и знание субъекта и отрасли могут помочь определить, что отдельные действия, привлекшие внимание аудитора, содержат признаки несоблюдения законов и нормативных актов. Определение того, какие действия являются или могут являться несоблюдением, обычно основывается на консультации опытного и квалифицированного юриста, однако окончательное решение может приниматься только судом»

(п. 4 МСА 250).

В ПМАП 1010 приведены примеры экологических вопросов, влияющих на финансовую отчетность:

• введение экологических законов и положений может повлечь за собой обесценивание активов и, как следствие, необходимость снижения их балансовой стоимости;

• несоблюдение норм экологического законодательства, касающихся, например, удаления выбросов и отходов, или изменения в законодательстве, имеющие ретроактивную силу, могут потребовать начисления сумм для осуществления исправительных мер, выплаты компенсаций и оплаты юридических расходов;

• некоторые субъекты, например в добывающей промышленности (горнодобывающая или нефте- и газодобывающая отрасли), производители химикатов или компании по утилизации отходов могут понести экологические обязательства в качестве непосредственного побочного продукта своей основной деятельности;

• конструктивные обязательства, вытекающие из добровольных действий (например, субъект может обнаружить загрязнение почвы и, не имея юридических обязанностей, решит устранить загрязнение, заботясь о свой репутации и улучшении отношении с обществом);

• субъект может быть обязан раскрыть в примечаниях наличие условных обязательств, если расходы, относящиеся к экологическим вопросам, не могут быть достоверно оценены;

• в крайних случаях несоблюдение определенных экологических законов и положений может повлиять на продолжительность деятельности предприятия с точки зрения допущения о непрерывности деятельности и, следовательно, на раскрываемые сведения и основу для подготовки финансовой отчетности.

Согласно требованиям раздела «Руководство по применению МСА 310 "Знание бизнеса"» при проведении любых аудиторских проверок необходимо иметь знания о бизнесе клиента в объеме, достаточном для выявления и понимания факторов, которые могут существенно влиять на финансовую отчетность, проверку или аудиторское заключение. При получении достаточного знания о бизнесе клиента аудитор рассматривает важные вопросы, влияющие на бизнес субъекта и на ту отрасль, в которой он работает, такие как экологические требования и проблемы.

Некоторые отрасли по своему характеру сопряжены с существенным экологическим риском. К ним относятся химическая, нефте- и газодобывающая, фармацевтическая, металлургическая, горнодобывающая отрасли и коммунальное хозяйство.

Любой субъект может быть подвержен существенному экологическому риску в том случае, если он:

• в большей степени зависит от экологических законов и нормативных актов;

• владеет участками, зараженными предыдущими владельцами (субститутивная ответственность), или обладает залоговым правом в отношении таких участков;

• осуществляет хозяйственную деятельность, которая может привести к заражению почв и подземных вод, наземных вод или воздуха, связана с использованием опасных веществ, связана с производством или обработкой опасных отходов, может иметь негативное воздействие на клиентов, сотрудников или людей, которые живут неподалеку от зданий компании.

В разделе «Руководство по применению МСА 400 "Оценка рисков и система внутреннего контроля"» представлены дополнительные рекомендации по применению определенных аспектов МСА 400, объясняется взаимосвязь между экологическими вопросами и моделью аудиторского риска. Здесь приведены примеры возможных экологических вопросов, рассматриваемых аудитором в связи с оценкой неотъемлемого риска, системой бухгалтерского учета и внутреннего контроля, контрольной средой и контрольными процедурами.

Аудитор использует профессиональное суждение для определения значимости факторов, относящихся к оценке неотъемлемого риска, при разработке общего плана аудита. При определенных обстоятельствах данные факторы могут включать в себя риск существенного искажения финансовой отчетности из-за экологических вопросов («экологический риск»). Следовательно, экологический риск может являться компонентом неотъемлемого риска. В качестве примеров экологического риска на уровне финансовой отчетности можно назвать:

• риск затрат в связи с соблюдением законодательства или требований договоров;

• риск несоблюдения экологических законов и нормативных актов;

• возможное влияние конкретных экологических требований клиентов субъекта и их возможная реакция на экологическое поведение субъекта.

Ответственность за разработку и функционирование системы внутреннего контроля в целях упорядоченного и эффективного ведения дел, включая любые экологические аспекты, лежит на руководстве.

На практике руководство использует разные способы контроля, касающегося экологических вопросов: