Реферат
«Методологічні аспекти проведення аудиту та особливості тестування системи комп'ютерної обробки даних»
Зміст
Методологічні аспекти проведення аудиту та особливості тестування системи комп'ютерної обробки даних
Процедури автоматизації аудиторської діяльності на основі сучасних управлінських систем
1. Методологічні аспекти проведення аудиту та особливості тестування системи комп'ютерної обробки даних
Система комп'ютерної обробки даних (КОД) - комплекс обчислювальних та інструментальних засобів аудитора, що забезпечують збір та обробку бухгалтерської інформації при виконанні ним професійних функцій з метою складання офіційного аудиторського висновку про достовірність звітності в електронній формі.
Система КОД включає в себе наступні елементи:
1. Апаратні засоби. До них відносяться: устаткування і пристрої, які здійснюють функціонування комп'ютера і рішення їм прикладних завдань.
2. Програмні засоби:
2.1. Системні програми. До цих програм, що виконують загальні функції, зазвичай відносять:
операційні системи, які управляють апаратними засобами і розподіляють їхні ресурси для максимально ефективного використання,
системи управління базами даних (СКБД), що забезпечують виконання стандартних функцій по обробці даних,
сервісні програми, які виконують у комп'ютері основні операції, наприклад, сортування записів.
2.2. Прикладні (користувальницькі) програми - це внутріфірмові підпрограми для обробки даних, які організація-користувач розробляє самостійно чи купує в зовнішнього постачальника.
3. Експлуатаційна документація - опис системи і структури керування стосовно до введення, обробці і виводу даних, обробці повідомлень, логічним і іншим командам.
4. ІТ-персонал - працівники, що керують системою, проектують її і постачають програмами, експлуатують і контролюють систему обробки даних.
5. Інформаційна база бухгалтерських даних - відомості про господарські операції та інша необхідна інформація, що піддається введенню, збереженню та обробці в системі.
6. Процедури контролю - процедури, що забезпечують перевірку запису операцій, що попереджають чи реєструють помилки.
Наявність у клієнта систем комп'ютерної обробки даних (КОД) в першу чергу впливає на склад проводяться аудитором процедур, тому планування аудиту в умовах систем КОД неминуче має свої особливості. Аудитор на етапі планування повинен вирішити питання організаційно-технічного забезпечення аудиторських процедур та необхідності залучення технічних фахівців. Процедури тестування системи КОД обов'язково повинні бути передбачені в числі перших по черговості виконання, оскільки саме вони дозволяють визначити аудиторський ризик. Аудитор на даному етапі робіт зобов'язаний з'ясувати, - чи використовується система клієнта за призначенням?
Важливим є і тиражність використовуваної клієнтом системи КОД. У багатофункціональної широко використовуваної системі, яка застосовується на сотнях підприємств у різних умовах, швидше за все вже усунені в переважній більшості помилки, допущені при її розробці. Доцільність використання конкретної системи КОД і рекомендації з переходу клієнта на іншу систему КОД повинні спиратися на порівняльний аналіз існуючих систем.
Слід звернути особливу увагу, як на підготовку, так і на відношення персоналу до системи КОД. Для виконання аудиту в умовах КОД аудитор повинен мати знання в області інформаційних технологій, так як залучення до цього процесу технічних експертів збільшує ризик витоку інформації. Крім того, відсутність у аудитора цих знань може призвести до невірного складання технічних завдань для експертів і помилковою трактуванні отриманих ними результатів.
Тестування вводяться в систему КОД даних є обов'язкової аудиторської процедурою. Ніяка, навіть найдосконаліша система КОД не дасть реальних результатів, якщо в неї введені дані, що не відповідають виробленим господарським операціям. Тестування може бути як суцільним, так і вибірковим, що привносить додатковий елемент аудиторського ризику - ризик невірно оцінити якість введених в систему КОД даних .
Облікова політика, орієнтована на систему КОД, повинна обов'язково передбачати внутрішній логічний контроль. Відсутність опису внутрішнього контролю в обліковій політиці або неналежне виконання відповідних процедур є додатковим чинником ризику для аудитора. Процедури контролю повинні включати як використання програмних функцій, так і організаційні заходи, наприклад, щовечірня перевірка на цілісність даних або на відсутність комп'ютерних вірусів. Звіти, що формуються системою автоматично, дозволяють аудитору, як незалежній особі, виявити помилки або зловживання, що маскуються під час налаштування звітних форм персоналом клієнта. Чим більше автоматично формованих звітних форм передбачили розробники системи КОД, тим більше різних тестів на узгодженість даних і результатів може провести аудитор.
Тестування системи КОД клієнта з використанням контрольних даних більш ефективно, ніж тестування на основі даних клієнта. Використання контрольних даних повинне бути погоджене з клієнтом, так як може зажадати зупинки робіт на час тестування. Після тестування контрольні дані повинні бути видалені з системи КОД клієнта.
Після обов'язкового тестування системи КОД аудитор має право запропонувати аудируемом особі у вигляді супутніх послуг можливі види аудиту систем КОД клієнта, що дозволяють отримати всебічну об'єктивну оцінку інфраструктури підприємства. Проведення аудиту слід довіряти незалежним висококваліфікованим експертам.
Скорочення виникають у випадках системних збоїв втрат можна досягти шляхом комплексного дослідження технічного стану всіх компонентів систем КОД. Існує наступні напрямки аудиту систем КОД (рис. 2):
Рис. 2. Напрямки аудиту систем КОД
Аудит технічного стану систем перш за все призначений для компаній, яким потрібно оцінити їх поточний стан з метою реконструкції та модернізації або підготуватися до впровадження нових технологій.
Проведення аудиту технічного стану дозволяє:
усунути системні збої;
підвищити ефективність роботи підприємства;
провести модернізацію та реконструкцію систем на підставі отриманих рекомендацій;
організувати і налагодити їх підтримку.
За результатами аудиту клієнту надається звітність за такими напрямками:
стан кабельної системи;
реалізація резервного копіювання;
наявність надлишкового трафіку в мережі, наявність помилок у трафіку;
список користувачів, з метою надання рекомендацій щодо впровадження політики безпеки;
наявність незахищених дискових ресурсів;
безпеку інформаційної системи для виявлення існування потенційних загроз несанкціонованого доступу до системи;
інвентаризація програмних і апаратних засобів;
завантаженість каналів зв'язку для визначення та локалізації критичних ділянок інфраструктури мережі.
Керівництво підприємств часто стикається із завданням визначення вартості системи КОД. Відбувається це при розрахунку ефективності капіталовкладень, оцінці витрат на переобладнання системи або вартості підприємства при підготовці її для продажу. Аудит ефективності дає можливість підприємству оцінити сукупну вартість володіння систем КОД, а також оцінити терміни повернення інвестицій при вкладенні коштів в систему, розробити оптимальну схему вкладень, здійснити ефективне витрачання коштів на обслуговування і підтримку, знизити виробничі витрати на систему КОД.
За результатами аудиту клієнту надається звітність за такими напрямками:
оцінка вартості обладнання;
оцінка якості існуючої кабельної системи;
оцінка вартості впроваджених технологій;
оцінка витрат на утримання системи;
оцінка якості технічної підтримки користувачів;
оцінка вартості налагоджених процесів управління;
оцінка сукупної вартості володіння системи.
Забезпечення інформаційної безпеки є ключовим моментом діяльності будь-якої компанії. Результати аудиту інформаційної безпеки дозволяють побудувати оптимальну за ефективністю і витратам корпоративну систему захисту інформації. Даний вид аудиту призначений для клієнтів, охочих оцінити відповідність системи інформаційної безпеки існуючих вимогам.
За результатами аудиту клієнту надається звітність за такими напрямками:
комплексна перевірка рівнів забезпечення інформаційної безпеки компанії;
аналіз інформаційних ризиків;
аналіз системи захисту по зовнішніх мереж;
аналіз системи контролю інформації, переданої по телефонних з'єднаннях та електронною поштою;
визначення можливих каналів витоку конфіденційної інформації.
У перелік наданих за результатами аудиту матеріалів входять звіт про поточний стан системи інформаційної безпеки та ефективності вкладень у систему інформаційної безпеки, а також рекомендації з політики безпеки та планом інформаційного захисту.
Аудит проектів впровадження та реінжинірингу дозволяє ефективно інвестувати кошти в інформаційну інфраструктуру підприємства за рахунок контролю рішень та робіт, пропонованих виконавцями. Таким чином, якщо підприємство збирається починати великі проекти модернізації системи КОД підприємства, використовує послуги системних інтеграторів з метою визначення реальних термінів і вартості проектів перед початком робіт або ставить перед собою мети контролю проектів впровадження у своїх філіях та дочірніх компаніях, то даний вид аудиту для неї просто незамінний. Він дозволяє чітко оцінити ризики впровадження та реінжинірингу системи, терміни і плановані ресурси на розробку та впровадження рішень, правильність вибору методів і технологій, а також завчасно виявити можливі помилки та отримати рекомендації, спрямовані на підвищення ефективності проекту. У проведення аудиту проектів впровадження та реінжинірингу входить перевірка проекту і складеного технічного завдання (ТЗ) на відповідність реальним вимогам підприємства і стандартам, наприклад, ГОСТ 34601-90 «Автоматизовані системи. Стадії створення ». Після закінчення проведення аудиту клієнтові надається повний звіт про відповідність ТЗ вимогам діяльності і пропонованого рішення ТЗ, про виконання етапів робіт, результати сертифікаційних змін, зведений звіт про проект.
Державні органи, а також зарубіжні інвестори або засновники можуть вимагати від клієнта наявність сертифіката системи підприємства з метою відповідності послуг необхідного рівня якості. У цьому випадку оціночний аудит системи виявляє відхилення від існуючих стандартів і формує рекомендації, які дозволяють усунути виявлені невідповідності.
Оціночний аудит системи призначений для тих компаній, які:
планують створення системи на основі існуючих стандартів;
планують проведення сертифікації підприємства;
хочуть упевнитися в тому, що процес створення системи відповідає існуючим стандартам (ГОСТи, ISO, IEEE, ANSI і пр.);
бажають перевірити діяльність філій на відповідність існуючим корпоративним стандартам холдингових компаній.
За результатами аудиту клієнту надається звітність за такими напрямками:
визначити існуючі стандарти в даній предметній області,
виявити основні відхилення від стандартів,
зафіксувати результати і видати рекомендації з усунення невідповідностей.
Крім того, необхідно провести оціночний аудит програмного забезпечення (ПЗ), який дозволяє визначити економічну ефективність від впровадження та експлуатації як певного виду ПЗ, так і комплексу програмних продуктів. Головним чином, оцінний аудит призначений для компаній, що планують провести легалізацію ПЗ, здійснити перехід до нових версій програмних продуктів, провести модернізацію бізнес-процесів шляхом впровадження нових програмних засобів, а також оцінити поточний стан програмного комплексу.
За результатами аудиту клієнту надається звітність за такими напрямками:
відповідність ПЗ важливість справ;
результати інвентаризації встановлених програмних засобів;
результати функціональності ПЗ;
результати раціональності використання встановленого ПЗ;
результати перевірки актуальності встановлених версій ПЗ;
результати перевірки коректності конфігурації програмного забезпечення;
результати сумісності ПЗ з платформами;
результати мережевій сумісності ПЗ.
Комплексна оцінка веб-представництва підприємства проводиться в рамках веб-аудиту. Даний вид аудиту призначений для компаній, які планують активніше використовувати можливості Інтернету в бізнесі, проводити маркетингові інтернет-кампанії, створювати або реконструювати свій веб-ресурс. Для досягнення результатів при проведенні веб-аудиту необхідно провести аналіз статистики відвідуваності веб-ресурсу (аналіз трафіку), проставлення бальних оцінок веб-ресурсу за основними оціночними критеріями, порівняльний аналіз досліджуваного веб-ресурсу з лідером у досліджуваному сегменті ринку.
2. Процедури автоматизації аудиторської діяльності на основі сучасних управлінських систем
Автоматизація професійної діяльності (від англ. Professional Services Automation, або скорочено PSA) - відносно новий підхід до вирішення проблеми, пов'язаної з підвищенням ефективності роботи компаній, що надають професійні послуги. І якщо у світі він вже отримав загальне визнання, то в нашій країні його поширення тільки починається. Згідно з методологією PSA робота компаній, що надають професійні послуги, являє собою більш широкий спектр бізнес-процесів, ніж просто ведення окремо взятих проектів. PSA-системи дозволяють здійснювати комплексне управління портфелем проектів, враховувати необхідні для їх реалізації час і ресурси, а також вести взаєморозрахунки з клієнтами. У практиці провідних аудиторських фірм PSA-системи як клас програмного забезпечення, спрямованого на автоматизацію діяльності широкого кола компаній, що надають професійні послуги і призначених для управління проектами та ресурсами, обліку часу і витрат займають провідне місце.
ProjectMate - перша російська PSA-система. Програма розроблена компанією «Авіком», що являє одним з лідерів в області створення, підтримки і розвитку інформаційних бізнес-систем з власним підходом до вирішення завдань і освоєння перспективних ІТ-технології. Її основне призначення полягає в управлінні якістю надаваних послуг. Вона легка у впровадженні, має розвинені засоби колективної роботи в мережі і, крім того, має модульної структурою, що сприяє оптимізації витрат на її придбання. Система ProjectMate проста у використанні завдяки інтуїтивно зрозумілому інтерфейсу, і при цьому дозволяє автоматизувати весь цикл надання послуг, починаючи зі складання загального плану аудиту та закінчуючи розрахунками з клієнтом. Багато великих аудиторські компанії змогли по достоїнству оцінити переваги ProjectMate (версія ProjectMate 5), який виявився для них єдиним продуктом класу PSA, що задовольняє корпоративним правилам ведення аудиторської перевірки. Реалізовані в ProjectMate 5 засоби автоматизації аудиторської діяльності покликані:
підвищити ефективність планування і контролю над виконанням бюджету часу і витрат;
налагодити управління трудовими ресурсами аудиторської компанії;
допомогти в організації збору інформації про всіх проведених у компанії аудиторських перевірках і задіяних у них ресурсах завдяки наявності різноманітних настроюваних звітів.
Система ProjectMate повною мірою орієнтована на потреби автоматизації аудиторських фірм, враховує особливості російського ринку послуг і включає крім традиційного аудиту, управлінські, податкові та бухгалтерські консультації. Сьогодні невід'ємною частиною роботи керівників, бухгалтерів і юристів багатьох компаній, є професійні консультації незалежних аудиторів з різних розділів бухгалтерського обліку, оподаткування, права, управління.
Більше половини часу аудиторів складає безпосередньо етап проведення перевірки бухгалтерської та податкової звітності. Отже, для компаній, що займаються наданням аудиторських послуг, характерна одна особливість - майже завжди під час укладання договору з клієнтом мова йде про типову перевірці, що складається з певної кількості заздалегідь відомих процедур та учасників. Однак в окремих випадках керівнику аудиторської групи може знадобитися змінити склад аудиторської групи, доповнивши її співробітниками з більш високим досвідом аудиторської діяльності. При довгостроковому плануванні і невідомому складі групи, що бере участь в стандартній перевірці, можна приступити до планування, враховуючи критерій рівня кваліфікації аудиторів. ProjectMate дозволяє без зайвих зусиль підбирати аудиторів, які мають необхідні для виконання специфічної роботи професійні навички. Крім того, система допомагає знижувати аудиторські ризики, дозволяючи уникати ситуацій, пов'язаних з перезавантаженням чи одночасним призначенням для одного і того ж виконавця різних завдань.
За допомогою ProjectMate можна не тільки організувати суворий контроль над кожним етапом перевірки, але й домогтися вирішення таких важливих завдань, як облік часу і планування завантаження співробітників, ведення взаєморозрахунків з клієнтами і ряду інших. Система ProjectMate як управлінська система для аудиторів володіє достатніми коштами для швидкого створення типової аудиторської перевірки та чіткого планування його ресурсів. Вона підтримує формування і подальше використання різноманітних шаблонів, що відображають особливості того чи іншого виду аудиторських послуг. Спочатку задавши список виконавців і завдань, для етапу, пов'язаного з певним видом аудиторської перевірки, а також вказавши його трудомісткість і собівартість, керівник аудиторської групи має можливість в подальшому створювати в програмі аналогічні проекти перевірок, що значно скорочує обсяг рутинних операцій технічного властивості.
Завдяки зручному графічному поданням даних керівник отримує точні відомості за запланованим робочого часу кожного співробітника. Ця інформація сприяє ефективному управлінню людськими ресурсами аудиторської фірми і прийняття вірних рішень з приводу призначення або переведення людей з одного проекту в інший, а також найму нових співробітників.
Оскільки ProjectMate створений російською компанією, він враховує ще одну особливість вітчизняного ринку аудиторських послуг. У Росії існують спеціалізовані продукти, орієнтовані виключно на операції з аудиту, але при цьому майже відсутні компанії, що надають лише аудиторські послуги. У більшості випадків аудиторські фірми практикує надання супутніх послуг. Відповідно після придбання спеціалізованої аудиторської програми компанія буде змушена вирішувати питання, що стосується автоматизації інших напрямків своєї діяльності.
Технологічно система ProjectMate побудована за модульним принципом. Модуль - логічна частина програми, що представляє собою комбінацію функцій для вирішення певного набору завдань. Подібний підхід дозволяє в подальшому надати системі додаткову функціональність за рахунок приєднання нових блоків. У ProjectMate реалізовані наступні модулі:
Управління часом і витратами - призначений для точного обліку та управління часом і витратами в масштабах всієї аудиторської компанії.
Управління проектами та ресурсами - використовується при вирішенні всього циклу завдань з організації аудиторської діяльності.
Управління фінансами - забезпечує автоматизацію всіх фінансових операцій в рамках договірної діяльності і дозволяє аналізувати основні фінансові показники аудиторських процедур.
У правління запитами - дозволяє приймати, обробляти та керувати будь-якими типами запитів з боку як зовнішніх, так і внутрішніх замовників.
Управління контактами - зв'язує виконання тієї чи іншої операції з конкретним клієнтом або асистентом аудиторської групи.
Документообіг - служить для створення і управління єдиним архівом робочих документів аудитора.
Особливий інтерес для аудитора може представляти модуль «Управління часом і витратами». Час як один з найважливіших ресурсів, на підставі якого плануються терміни виконання і собівартість перевірки, контролюється трудомісткість виконання перевірки по ділянках, виставляються рахунки клієнтам і т. д. У будь-якій організації, що займається наданням професійних послуг, важливо вміти керувати часом і точно його враховувати. Те ж саме відноситься і до витрат, зреалізований у витрачанні фінансових коштів.
Модуль «Управління часом і витратами» дозволяє користувачам вносити записи про час, витрачений на виконання тієї чи іншої роботи, і відзначати грошові витрати (наприклад, за міжміські переговори, відрядження та ін.) Для спрощення та підвищення точності обліку часу передбачені таймери - спеціальний засіб, що полегшує введення інформації при паралельному виконанні декількох завдань.
Завдяки розмежуванню прав керівник аудиторської групи може затверджувати або відхиляти записи про час і витрати, здійснені асистентами або спеціально призначеними працівниками. Таким чином, досягається висока гнучкість урахування часу і забезпечується необхідний рівень безпеки даних. Крім того, ProjectMate як ефективний засіб забезпечення внутрішньокорпоративних комунікацій дозволяє також зустрічі між керівником та асистентами групи. Порядок планування зустрічі та обліку витраченого на неї часу максимально наближений до аналогічної процедури в Microsoft Outlook. Додаткова зручність надає можливість резервування і контролю використання загальних ресурсів - переговорних кімнат, обладнання, автотранспорту, кур'єрів і т. д. Можливості модуля розширені в розрізі таких процедур як:
1. Облік робочого часу.
1.1. Облік часу в розрізі проектів, завдань та видів діяльності.
1.2. Перегляд записів про час у вигляді календаря або списку.
1.3. Введення записів про час за допомогою настроюваних таймерів.
1.4. Налаштовувана процедура затвердження записів про час.
1.5. Введення записів з використанням віддаленого доступу.
2. Облік витрат
2.1. Облік витрат у розрізі проектів, завдань і типів витрат.
2.2. Налаштовувана керівником процедура затвердження витрат.
2.3. Облік телефонних переговорів.
2.4. Мультивалютний облік.
3. Планування зустрічей.
3.1. Автоматична відправка запрошень аудіруемим особам (за допомогою електронної пошти та системних повідомлень).
3.2. Облік часу, витраченого на проведення зустрічі.
3.3. Резервування загальних ресурсів компанії і дозвіл конфліктів при їх використанні.
Незважаючи на наявність PSA-систем багато російських компаній як і раніше залишаються вірні старим методам автоматизації, а деякі взагалі вважають за краще не робити нічого, або продовжують вести облік за допомогою паперових тайм-листів (Timesheets). Найчастіше компанії вдаються до засобів, які насправді не призначені для управління аудиторською діяльністю. До цієї категорії відносяться рішення класу ERP і добре всім відомі електронні таблиці (такі, як Microsoft Excel). Однак ERP-системи створюються для промислових підприємств, тому вони зазвичай перевантажені зайвою функціональністю, а їх модулі управління проектами, як правило, виявляються досить слабкими. Безумовно, на ринку існують потужні спеціалізовані продукти, такі як Microsoft Project, проте вони є програмами загального призначення і часто, як і ERP-системи, складні для вивчення та застосування. До того ж, Microsoft Project НЕ автоматизує весь цикл аудиторських послуг (для обліку часу та моніторингу буде потрібно встановлювати ще і Project Server).
Зважаючи на вищевказані обставини при виборі і обгрунтуванні впровадження управлінських систем автоматизації аудиторської діяльності необхідно брати до уваги такі критерії: по-перше, настройка версії створена під вітчизняного замовника, а, по-друге, врахування особливостей відповідності національній системі нормативної документації.