Задача аудита использования данных в компании делится на две части. Первая – технологическая, это аудит хранения, процессов обработки, режима конфиденциальности информации. Вторая – более комплексная, это использование данных, содержащихся в информационных системах, для аудита финансовой отчетности и проблема их верификации, подтверждения достоверности. 

Применение сведений, содержащихся в ИС, для аудита финансовой отчетности

Аудитор, проводящий проверку достоверности финансовой отчетности, использует не все документы компании, а делает их выборку. Среди предложенной ему информации окажутся не только бумажные документы, но и электронные записи, проводки, сведения учета, содержащиеся в бухгалтерских электронных базах, на счетах бухгалтерского учета. Их достоверность подтверждается только добросовестностью персонала, и аудитор не всегда может быть уверен в правомерности выводов, сделанных на основе электронной информации. Разработан стандарт аудиторской деятельности, определяющий, как именно должен вести себя аудитор, работая со сведениями, размещенными в электронной базе данных, его основные задачи и методы их реализации. Для подтверждения того, что информация не была изменена, используется аудит баз.

Аудит информации в ИС

Контроль состояния информации в ИС направлен на сохранение свойств безопасности информации, а именно ее целостности, доступности, конфиденциальности. Методом аудита применения сведений становится тотальный надзор за действиями пользователей, отслеживание всех манипуляций, совершаемых с конфиденциальной информацией. Задача в небольших организациях решается с применением штатных инструментов Windows, но при масштабировании системы, в крупных корпорациях с тысячами сотрудников этих прикладных решений оказывается мало, нужны программы более высокого уровня.

Штатные программы предполагают создание списков разграничительного контроля доступа (DACL), на их базе формируются элементы управления доступом, включающие одно или несколько разрешений для пользователя проводить те или иные операции с файлами.

Результатом запроса действия может быть отказ или разрешение, во втором случае, если действие произведено, оно попадает в категорию успешных, и об этом делается запись в журнале. Отдельный учетный регистр создается для каждого сервера. При изучении журналов можно установить, кто именно работал с файлами, и, если в них были внесены несанкционированные изменения, установить виновника.  

Аудиту подлежат следующие операции: 

• чтение;
• копирование;
• удаление;
• создание новых папок.

В журнал учета Windows попадает каждое событие, и из-за их количества поиск затруднен, что относится к первому по серьезности недостатку штатной системы аудита. Вторая по важности проблема – возможность внесения изменений в журнал системным администратором. Это значит, что некоторые события могут быть случайно или преднамеренно удалены. 

Контролировать операции с данными в файловой системе предприятия помогает «СёрчИнформ FileAuditor». 

Программы для аудита могут быть настроены тоньше, они мгновенно извлекают информацию из журнала учета Windows, классифицируют ее по заранее написанным алгоритмам, оповещают уполномоченных лиц, указанных в настройках политик безопасности. Установка в компании такого программного обеспечения дает аудиторской организации уверенность в том, что несанкционированные изменения в счетах бухгалтерского учета не производились.

Стандарты аудиторской деятельности

Стандарт проведения проверки в условиях компьютерной обработки данных (КОД) является обязательным для всех аудиторских компаний, работающих на территории России. Он описывает требования к аудиторским организациям и особенности проведения аудита в среде КОД. Стандарт распространяется на аудит компаний вне зависимости от того, вся финансовая отчетность или только ее часть ведется в информационных системах, и даже в тех случаях, когда ИС используется только для автоматизации операций.

Среда КОД меняет систему ведения бухгалтерского учета:

• первичные учетные документы могут формироваться в электронном виде, например, когда по договору с контрагентами предусмотрен электронный документооборот;
• для проверки достоверности бухгалтерского учета или своих выводов аудитор использует записи в информационной системе;
• сведения синтетического и аналитического учета формирует не специалист, а программа.

Аудитору приходится работать с балансом и отчетом о прибылях и убытках, созданными в электронном виде, а правильность проводок проверять по электронным базам. Если 1С знакома большинству аудиторов, то некоторые программы могут быть неизвестны, например, бухгалтерский модуль может быть встроен в EBR Oracle и создавать сложности для специалистов, ранее не работавших с системой. 

Стандарт прямо предусматривает, что, вне зависимости от знакомства аудитора с программным обеспечением, он не вправе прямо или косвенно настаивать на применении для ведения учета только знакомого ему ПО, что позволило бы ему проще проводить аудит используемых сведений. Компания обязана предоставить аудитору полный доступ к системе со всеми правами пользователя. Отказ от этого будет признан ограничением объема аудита, и у проверяющих возникает право потребовать предоставления всего объема информации на бумажных носителях. 

Требования к аудитору 

Если проверка проводится в условиях среды КОД, стандарт устанавливает специальные требования к специалисту проверяющей организации и к ней самой. Несоответствие им ограничит возможность участия в проверках.

Основные требования: 

• компетенция в технических особенностях работы ИС, знакомство с программным обеспечением, понимание математических моделей анализа. Если таких навыков нет, стандарт рекомендует пригласить в помощь аудитору технического эксперта;
• специалист должен понимать, как работа в среде КОД влияет на процесс организации бухгалтерского учета и какие риски в связи с ним возникают в деятельности компании;
• аудиторская компания должна иметь библиотеку наиболее популярных программ бухгалтерского учета, и аудитор должен прилагать силы к их изучению.

Если привлекается эксперт, аудитор должен иметь необходимый багаж знаний, чтобы оценить работу специалиста. 

В обязанности эксперта входят:

• оценка надежности бухгалтерской программы в целом, качества использования сведений как со стороны их сохранности, так и со стороны правильной обработки и интерпретации;
• проверка правомерности приобретения бухгалтерской программы, ее установки, наличия лицензий;
• проверка правильности алгоритмов расчетов, на основании которых формируются счета аналитического и синтетического учета, а также итоговые отчетные формы;
• формирование в информационной среде отчетов и регистров, необходимых аудитору для проверки достоверности ведения бухгалтерского учета.

Как проводится проверка в среде КОД

Информационная среда порождает повышенные требования к достоверности данных и к точности алгоритмов их анализа. Стандарт предписывает аудитору подготовить документ, в котором описывается качество обработки информации в ИС. 

В документе указывается:

• особенности ведения бухгалтерского учета в среде КОД в компании, размещение информационных баз, условия хранения сведений и возможность доступа к ним третьих лиц;
• процесс передачи информации внутри компании и вовне, риски искажения информации;
• качество технического и программного обеспечения, частота обновления ПО, внесения в него изменений в связи с изменением отдельных условий ведения бухучета в рамках действующего законодательства. Например, изменения форматов документов или распределения трансакций по счетам бухгалтерского учета.

Дополнительно аудитор должен оценить, насколько гибко программный продукт реагирует на изменение налогового законодательства, учитываются ли при обновлениях разъяснения Минфина и ФНС, насколько бухгалтерский персонал подготовлен к работе в условиях среды КОД. У аудиторов существует понятие профессионального риска или риска неверной оценки вводных, совершения ошибки. 

Степень этого риска повышается в среде КОД, и аудит использования данных должен оценить степень его изменения, а именно выявить критичные факторы:

• децентрализация компьютерной среды, автономное выполнение учетных операций на отдельных автоматизированных рабочих местах;
• низкий уровень компетенции бухгалтеров в сфере компьютерных технологий;
• отсутствие внутреннего контроля над целостностью и достоверностью информации;
• отсутствие системы мер регламентации доступа к объектам ИС.

В части организации внутреннего контроля специалист проверяющей организации обязан проверить: 

• качество контроля за подготовкой и обработкой информации на уровне пользователя и системного администратора;
• наличие контроля исключения ошибок или несанкционированного изменения информации во время работы;
• уровень контроля работы пользователя с данными с точки зрения доступности, достоверности, полноты;
• наличие возможности несанкционированного изменения программного обеспечения, в том числе в части ввода и регистрации первичной учетной информации;
• отсутствие несанкционированного доступа.

На основании данных аудита обработки информации специалист проверяющей организации готовит заключение о степени профессионального риска и достоверности отчетности.

Аудиторские доказательства

Вопрос достоверности данных, хранящихся или генерируемых в системах КОД, становится наиболее проблемным при формировании аудиторских доказательств или информации, полученной в ходе проверки, на которой основываются сделанные специалистом выводы. Аудитор вправе ссылаться на электронные документы при условии получения их бумажных копий или сохранения на электронных носителях в базе данных проверяющей организации. 

Право опираться на них при формулировании мнения о достоверности отчетности возникает при совокупности двух факторов: 

• регистры учета полностью соответствуют первичным учетным документам и фактам хозяйственной жизни. Все, что должно сопровождаться бумажными документами, все операции, для которых не предусмотрен исключительно электронный документооборот, дублируются на материальных носителях. Ведутся карточки учета основных средств, бумажные счета-фактуры хранятся должным образом, любая операция оформляется первичной документацией в установленные сроки;
• программное обеспечение несанкционированно не изменялось, оно своевременно обновляется. Доступ третьих лиц к базе данных исключен, реализован принцип дискреционного доступа, в журналах учета фиксируются все действия пользователей.

Аудитор в своей работе должен быть полностью убежден, что машинные версии учетных документов соответствуют действительности. При наличии сомнений целесообразно провести дополнительный аудит использования данных и их целостности. Все выводы ложатся в основу рабочих документов аудитора, на базе которых формируется итоговое заключение.

Использование информации из Интернета для проведения аудита

Отдельным вопросом является возможность применения проверяющими организациями данных, полученных из Интернета и касающихся экономического субъекта и его деятельности. Отечественными стандартами этот момент пока не регламентирован, но его коснулись правила проведения проверок отчетности, составляемой в американской системе учета GAAP. Эти правила могут быть использованы и в России. 
Есть случаи, когда на такие данные можно опираться, и они касаются договорных отношений между проверяющими и клиентами. Компания-аудитор должна быть полностью уверена в добросовестности клиента, его отказе от подделки отчетности или фальсификаций событий хозяйственной жизни. Она должна провести анализ честности клиента и вправе заключить договор на проверку только тогда, когда у нее нет фактов, говорящих о нечестности. Общедоступная информация о компании, ее руководителях, собственниках, сделках, судебных процессах может быть получена из Сети. 

Стандарт не исключает применения общедоступных данных в качестве доказательств, он применяется для оценки бизнеса клиента и угрожающих ему рисков. Если они выявлены, необходимо увеличить выборку при проверке. В ряде случаев требуется проводить сплошную проверку операций, отражаемых по счетам бухгалтерского учета. В Интернете можно найти различные события или условия, влияющие на деятельность клиента, например, арбитражные дела, данные о которых могут быть не внесены в систему бухгалтерского учета. Так, выставленные и поданные претензии редко отражаются в качестве дебиторской или кредиторской задолженности до момента полной оплаты.  

Оценка достоверности открытых данных становится профессиональным риском аудитора. При малейшем сомнении в достоверности информации ее результаты не могут стать надлежащей основой для выводов. Здесь действует тот же принцип, что и при оценке данных, содержащихся в информационных системах.

12.12.2019