Реферат
«Методологические аспекты проведения аудита и особенности тестирования системы компьютерной обработки данных»
Содержание
Методологические аспекты проведения аудита и особенности тестирования системы компьютерной обработки данных
Процедуры автоматизации аудиторской деятельности на основе современных управленческих систем
1. Методологические аспекты проведения аудита и особенности тестирования системы компьютерной обработки данных
Система компьютерной обработки данных (КОД) – комплекс вычислительных и инструментальных средств аудитора, обеспечивающих сбор и обработку бухгалтерской информации при выполнении им профессиональных функций с целью составления официального аудиторского заключения о достоверности отчетности в электронной форме.
Система КОД включает в себя следующие элементы:
1. Аппаратные средства. К ним относятся: оборудование и устройства, осуществляющие функционирование компьютера и решения им прикладных задач.
2. Программные средства:
2.1. Системные программы. К этим программам, выполняющим общие функции, обычно относят:
операционные системы, которые управляют аппаратными средствами и распределяют их ресурсы для максимально эффективного использования,
системы управления базами данных (СУБД), обеспечивающие выполнение стандартных функций по обработке данных,
сервисные программы, которые выполняют в компьютере основные операции, например, сортировку записей.
2.2. Прикладные (пользовательские) программы – это внутрифирменные подпрограммы для обработки данных, которые организация–пользователь разрабатывает самостоятельно или приобретает у внешнего поставщика.
3. Эксплуатационная документация – описание системы и структуры управления применительно к вводу, обработке и выводу данных, обработке сообщений, логическим и другим командам.
4. ИТ-персонал – работники, которые управляют системой, проектируют ее и снабжают программами, эксплуатируют и контролируют систему обработки данных.
5. Информационная база бухгалтерских данных – сведения о хозяйственных операциях и другая необходимая информация, подвергающаяся вводу, хранению и обработке в системе.
6. Процедуры контроля – процедуры, обеспечивающие проверку записи операций, предупреждающие или регистрирующие ошибки.
Наличие у клиента систем компьютерной обработки данных (КОД) в первую очередь влияет на состав проводимых аудитором процедур, поэтому планирование аудита в условиях систем КОД неизбежно имеет свои особенности. Аудитор на этапе планирования должен решить вопросы организационно-технического обеспечения аудиторских процедур и необходимости привлечения технических специалистов. Процедуры тестирования системы КОД обязательно должны быть предусмотрены в числе первых по очередности выполнения, поскольку именно они позволяют определить аудиторский риск. Аудитор на данном этапе работ обязан выяснить,- используется ли система клиента по назначению?
Важным является и тиражность используемой клиентом системы КОД. В многофункциональной широко используемой системе, которая применяется на сотнях предприятий в различных условиях, скорее всего уже устранены в подавляющем большинстве ошибки, допущенные при ее разработке. Целесообразность использования конкретной системы КОД и рекомендации по переходу клиента на другую систему КОД должны опираться на сравнительный анализ существующих систем.
Следует обратить особое внимание, как на подготовку, так и на отношение персонала к системе КОД. Для выполнения аудита в условиях КОД аудитор должен иметь знания в области информационных технологий, так как привлечение к этому процессу технических экспертов увеличивает риск утечки информации. Кроме того, отсутствие у аудитора этих знаний может привести к неверному составлению технических заданий для экспертов и ошибочной трактовке полученных ими результатов.
Тестирование вводимых в систему КОД данных является обязательной аудиторской процедурой. Никакая, даже самая совершенная система КОД не даст реальных результатов, если в нее введены данные, не соответствующие произведенным хозяйственным операциям. Тестирование может быть как сплошным, так и выборочным, что привносит дополнительный элемент аудиторского риска — риск неверно оценить качество введенных в систему КОД данных.
Учетная политика, ориентированная на систему КОД, должна обязательно предусматривать внутренний логический контроль. Отсутствие описания внутреннего контроля в учетной политике либо ненадлежащее выполнение соответствующих процедур является дополнительным фактором риска для аудитора. Процедуры контроля должны включать как использование программных функций, так и организационные мероприятия, например, ежевечерняя проверка на целостность данных или на отсутствие компьютерных вирусов. Отчеты, формируемые системой автоматически, позволяют аудитору, как независимому лицу, выявить ошибки или злоупотребления, маскируемые при настройке отчетных форм персоналом клиента. Чем больше автоматически формируемых отчетных форм предусмотрели разработчики системы КОД, тем больше различных тестов на согласованность данных и результатов может провести аудитор.
Тестирование системы КОД клиента с использованием контрольных данных более эффективно, нежели тестирование на основе данных клиента. Использование контрольных данных должно быть согласовано с клиентом, так как может потребовать остановки работ на время тестирования. После тестирования контрольные данные должны быть удалены из системы КОД клиента.
После обязательного тестирования системы КОД аудитор вправе предложить аудируемому лицу в виде сопутствующих услуг возможные виды аудита систем КОД клиента, позволяющие получить всестороннюю объективную оценку инфраструктуры предприятия. Проведение аудита следует доверять независимым высококвалифицированным экспертам.
Сокращения возникающих в случаях системных сбоев потерь можно достичь путем комплексного исследования технического состояния всех компонентов систем КОД. Существует следующие направления аудита систем КОД (рис. 2):
/>/>/>
/>
/>/>
/>/>
/>/>/>
/>
/>/>/>
Рис. 2. Направления аудита систем КОД
Аудит технического состояния систем прежде всего предназначен для компаний, которым требуется оценить их текущее состояние с целью реконструкции и модернизации или подготовиться к внедрению новых технологий.
Проведение аудита технического состояния позволяет:
устранить системные сбои;
повысить эффективности работы предприятия;
произвести модернизацию и реконструкцию систем на основании полученных рекомендаций;
организовать и наладить их поддержку.
По результатам аудита клиенту предоставляется отчетность по следующим направлениям:
состояние кабельной системы;
реализация резервного копирования;
наличие избыточного трафика в сети, наличие ошибок в трафике;
список пользователей, с целью предоставления рекомендаций по внедрению политики безопасности;
наличие незащищенных дисковых ресурсов;
безопасность информационной системы для выявления существования потенциальных угроз несанкционированного доступа к системе;
инвентаризация программных и аппаратных средств;
загруженность каналов связи для определения и локализации критических участков инфраструктуры сети.
Руководство предприятий часто сталкивается с задачей определения стоимости системы КОД. Происходит это при расчете эффективности капиталовложений, оценке затрат на переоборудование системы или стоимости предприятия при подготовке ее для продажи. Аудит эффективности дает возможность предприятию оценить совокупную стоимость владения систем КОД, а также оценить сроки возврата инвестиций при вложении средств в систему, разработать оптимальную схему вложений, осуществить эффективное расходование средств на обслуживание и поддержку, снизить производственные затраты на систему КОД.
По результатам аудита клиенту предоставляется отчетность по следующим направлениям:
оценка стоимости оборудования;
оценка качества существующей кабельной системы;
оценка стоимости внедренных технологий;
оценка затрат на содержание системы;
оценка качества технической поддержки пользователей;
оценка стоимости налаженных процессов управления;
оценка совокупной стоимости владения системы.
Обеспечение информационной безопасности является ключевым моментом деятельности любой компании. Результаты аудита информационной безопасности позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты информации. Данный вид аудита предназначен для клиентов, желающих оценить соответствие системы информационной безопасности существующих требованиям.--PAGE_BREAK--
По результатам аудита клиенту предоставляется отчетность по следующим направлениям:
комплексная проверка уровней обеспечения информационной безопасности компании;
анализ информационных рисков;
анализ системы защиты по внешним сетям;
анализ системы контроля информации, передаваемой по телефонным соединениям и электронной почте;
определение возможных каналов утечки конфиденциальной информации.
В перечень предоставляемых по результатам аудита материалов входят отчет о текущем состоянии системы информационной безопасности и эффективности вложений в систему информационной безопасности, а также рекомендации по политике безопасности и плану информационной защиты.
Аудит проектов внедрения и реинжиниринга позволяет эффективно инвестировать средства в информационную инфраструктуру предприятия за счет контроля решений и работ, предлагаемых исполнителями. Таким образом, если предприятие собирается начинать крупные проекты модернизации системы КОД предприятия, использует услуги системных интеграторов с целью определения реальных сроков и стоимости проектов перед началом работ или ставит перед собой цели контроля проектов внедрения в своих филиалах и дочерних компаниях, то данный вид аудита для нее просто незаменим. Он позволяет четко оценить риски внедрения и реинжиниринга системы, сроки и планируемые ресурсы на разработку и внедрение решений, правильность выбора методов и технологий, а также заблаговременно выявить возможные ошибки и получить рекомендации, направленные на повышение эффективности проекта. В проведение аудита проектов внедрения и реинжиниринга входит проверка проекта и составленного технического задания (ТЗ) на соответствие реальным требованиям предприятия и стандартам, например, ГОСТ 34601–90 «Автоматизированные системы. Стадии создания». После окончания проведения аудита клиенту предоставляется полный отчет о соответствии ТЗ требованиям деятельности и предлагаемого решения ТЗ, о выполнении этапов работ, результаты сертификационных изменений, сводный отчет о проекте.
Государственные органы, а также зарубежные инвесторы или учредители могут потребовать от клиента наличие сертификата системы предприятия с целью соответствия услуг необходимому уровню качества. В этом случае оценочный аудит системы выявляет отклонения от существующих стандартов и формирует рекомендации, позволяющие устранить обнаруженные несоответствия.
Оценочный аудит системы предназначен для тех компаний, которые:
планируют создание системы на основе существующих стандартов;
планируют проведение сертификации предприятия;
хотят удостовериться в том, что процесс создания системы соответствует существующим стандартам (ГОСТы, ISO, IEEE, ANSI и пр.);
желают проверить деятельность филиалов на соответствие существующим корпоративным стандартам холдинговых компаний.
По результатам аудита клиенту предоставляется отчетность по следующим направлениям:
определить существующие стандарты в данной предметной области,
выявить основные отклонения от стандартов,
зафиксировать результаты и выдать рекомендации по устранению несоответствий.
Кроме того, необходимо провести оценочный аудит программного обеспечения (ПО), который позволяет определить экономическую эффективность от внедрения и эксплуатации как определенного вида ПО, так и комплекса программных продуктов. Главным образом, оценочный аудит предназначен для компаний, планирующих провести легализацию ПО, осуществить переход к новым версиям программных продуктов, провести модернизацию бизнес-процессов путем внедрения новых программных средств, а также оценить текущее состояние программного комплекса.
По результатам аудита клиенту предоставляется отчетность по следующим направлениям:
соответствие ПО решаемым задачам;
результаты инвентаризации установленных программных средств;
результаты функциональности ПО;
результаты рациональности использования установленного ПО;
результаты проверки актуальности установленных версий ПО;
результаты проверки корректности настроек ПО;
результаты совместимости ПО с платформами;
результаты сетевой совместимости ПО.
Комплексная оценка веб-представительства предприятия производится в рамках веб-аудита. Данный вид аудита предназначен для компаний, которые планируют более активно использовать возможности Интернета в бизнесе, проводить маркетинговые интернет-кампании, создавать или реконструировать свой веб-ресурс. Для достижения результатов при проведении веб-аудита необходимо провести анализ статистики посещаемости веб-ресурса (анализ трафика), проставление балловых оценок веб-ресурса по основным оценочным критериям, сравнительный анализ исследуемого веб-ресурса с лидером в исследуемом сегменте рынка.
2. Процедуры автоматизации аудиторской деятельности на основе современных управленческих систем
Автоматизация профессиональной деятельности (от англ. Professional Services Automation, или сокращенно PSA) — относительно новый подход к решению проблемы, связанной с повышением эффективности работы компаний, оказывающих профессиональные услуги. И если в мире он уже получил всеобщее признание, то в нашей стране его распространение только начинается. Согласно методологии PSA работа компаний, оказывающих профессиональные услуги, представляет собой более широкий спектр бизнес-процессов, чем просто ведение отдельно взятых проектов. PSA-системы позволяют осуществлять комплексное управление портфелем проектов, учитывать необходимые для их реализации время и ресурсы, а также вести взаиморасчеты с клиентами. В практике ведущих аудиторских фирм PSA-системы как класс программного обеспечения, направленного на автоматизацию деятельности широкого круга компаний, оказывающих профессиональные услуги и предназначенных для управления проектами и ресурсами, учета времени и затрат занимают ведущее место.
ProjectMate — первая российская PSA-система. Программа разработана компанией «Авиком», являющей одним из лидеров в области создания, поддержки и развития информационных бизнес-систем с собственным подходом к решению задач и освоению перспективных ИТ-технологии. Ее основное предназначение состоит в управлении качеством оказываемых услуг. Она легка во внедрении, имеет развитые средства коллективной работы в сети и, кроме того, обладает модульной структурой, что способствует оптимизации затрат на ее приобретение. Система ProjectMate проста в использовании благодаря интуитивно понятному интерфейсу, и при этом позволяет автоматизировать весь цикл предоставления услуг, начиная с составления общего плана аудита и заканчивая расчетами с клиентом. Многие крупные аудиторские компании смогли по достоинству оценить преимущества ProjectMate (версия ProjectMate 5), который оказался для них единственным продуктом класса PSA, удовлетворяющим корпоративным правилам ведения аудиторской проверки. Реализованные в ProjectMate 5 средства автоматизации аудиторской деятельности призваны:
повысить эффективность планирования и контроля над исполнением бюджета времени и затрат;
наладить управление трудовыми ресурсами аудиторской компании;
помочь в организации сбора информации о всех проводимых в компании аудиторских проверках и задействованных в них ресурсах благодаря наличию разнообразных настраиваемых отчетов.
Система ProjectMate в полной мере ориентированна на потребности автоматизации аудиторских фирм, учитывает особенности российского рынка услуг и включает кроме традиционного аудита, управленческие, налоговые и бухгалтерские консультации. Сегодня неотъемлемой частью работы руководителей, бухгалтеров и юристов многих компаний, являются профессиональные консультации независимых аудиторов по различным разделам бухгалтерского учета, налогообложения, права, управления.
Более половины времени аудиторов составляет непосредственно этап проведения проверки бухгалтерской и налоговой отчетности. Следовательно, для компаний, занимающихся оказанием аудиторских услуг, характерна одна особенность — почти всегда при заключении договора с клиентом речь идет о типовой проверке, складывающейся из определенного количества заранее известных процедур и участников. Однако в отдельных случаях руководителю аудиторской группы может потребоваться изменить состав аудиторской группы, дополнив ее сотрудниками с более высоким опытом аудиторской деятельности. При долгосрочном планировании и неизвестном составе группы, участвующей в стандартной проверке, можно приступить к планированию, учитывая критерий уровня квалификации аудиторов. ProjectMate позволяет без лишних усилий подбирать аудиторов, имеющих требуемые для выполнения специфической работы профессиональные навыки. Кроме того, система помогает снижать аудиторские риски, позволяя избегать ситуаций, связанных с перезагрузкой или одновременным назначением для одного и того же исполнителя разных задач.
С помощью ProjectMate можно не только организовать строгий контроль над каждым этапом проверки, но и добиться решения таких важных задач, как учет времени и планирование загрузки сотрудников, ведение взаиморасчетов с клиентами и ряда других. Система ProjectMate как управленческая система для аудиторов обладает достаточными средствами для быстрого создания типовой аудиторской проверки и четкого планирования его ресурсов. Она поддерживает формирование и последующее использование разнообразных шаблонов, отражающих особенности того или иного вида аудиторских услуг. Первоначально задав список исполнителей и задач, для этапа, связанного с определенным видом аудиторской проверки, а также указав его трудоемкость и себестоимость, руководитель аудиторской группы имеет возможность в дальнейшем создавать в программе аналогичные проекты проверок, что значительно сокращает объем рутинных операций технического свойства.
Благодаря удобному графическому представлению данных руководитель получает точные сведения по запланированному рабочему времени каждого сотрудника. Эта информация способствует эффективному управлению человеческими ресурсами аудиторской фирмы и принятию верных решений по поводу назначения или перевода людей из одного проекта в другой, а также найма новых сотрудников.
Поскольку ProjectMate создан российской компанией, он учитывает еще одну особенность отечественного рынка аудиторских услуг. В России существуют специализированные продукты, ориентированные исключительно на операции по аудиту, но при этом почти отсутствуют компании, оказывающие только аудиторские услуги. В большинстве случаев аудиторские фирмы практикует оказание сопутствующих услуг. Соответственно после приобретения специализированной аудиторской программы компания будет вынуждена решать вопрос, касающийся автоматизации других направлений своей деятельности.
Технологически система ProjectMate построена по модульному принципу. Модуль — логическая часть программы, представляющая собой комбинацию функций для решения определенного набора задач. Подобный подход позволяет в дальнейшем придать системе дополнительную функциональность за счет присоединения новых блоков. В ProjectMate реализованы следующие модули:
Управление временем и затратами — предназначен для точного учета и управления временем и затратами в масштабах всей аудиторской компании. продолжение
--PAGE_BREAK--
Управление проектами и ресурсами — используется при решении всего цикла задач по организации аудиторской деятельности.
Управление финансами — обеспечивает автоматизацию всех финансовых операций в рамках договорной деятельности и позволяет анализировать основные финансовые показатели аудиторских процедур.
Управление запросами — позволяет принимать, обрабатывать и управлять любыми типами запросов со стороны как внешних, так и внутренних заказчиков.
Управление контактами — связывает выполнение той иной операции с конкретным клиентом или ассистентом аудиторской группы.
Документооборот — служит для создания и управления единым архивом рабочих документов аудитора.
Особый интерес для аудитора может представлять модуль «Управление временем и затратами». Время как один из важнейших ресурсов, на основании которого планируются сроки выполнения и себестоимость проверки, контролируется трудоемкость выполнения проверки по участкам, выставляются счета клиентам и т. д. В любой организации, занимающейся оказанием профессиональных услуг, важно уметь управлять временем и точно его учитывать. То же самое относится и к затратам, выражающимся в расходовании финансовых средств.
Модуль «Управление временем и затратами» позволяет пользователям вносить записи о времени, израсходованном на выполнение той или иной работы, и отмечать денежные затраты (например, за междугородние переговоры, командировки и пр.). Для упрощения и повышения точности учета времени предусмотрены таймеры — специальное средство, облегчающее ввод информации при параллельном выполнении нескольких задач.
Благодаря разграничению прав руководитель аудиторской группы может утверждать или отклонять записи о времени и затратах, совершенные ассистентами или специально назначенными сотрудниками. Таким образом, достигается высокая гибкость учета времени и обеспечивается необходимый уровень безопасности данных. Кроме того, ProjectMate как эффективное средство обеспечения внутрикорпоративных коммуникаций позволяет также планировать встречи между руководителем и ассистентами группы. Порядок планирования встречи и учета затраченного на нее времени максимально приближен к аналогичной процедуре в Microsoft Outlook. Дополнительное удобство придает возможность резервирования и контроля использования общих ресурсов — переговорных комнат, оборудования, автотранспорта, курьеров и т. д. Возможности модуля расширены в разрезе таких процедур как:
1. Учет рабочего времени.
1.1. Учет времени в разрезе проектов, задач и видов деятельности.
1.2. Просмотр записей о времени в виде календаря или списка.
1.3. Ввод записей о времени при помощи настраиваемых таймеров.
1.4. Настраиваемая процедура утверждения записей о времени.
1.5. Ввод записей с использованием удаленного доступа.
2. Учет затрат
2.1. Учет затрат в разрезе проектов, задач и типов затрат.
2.2. Настраиваемая руководителем процедура утверждения затрат.
2.3. Учет телефонных переговоров.
2.4. Мультивалютный учет.
3. Планирование встреч.
3.1. Автоматическая отправка приглашений аудируемым лицам (посредством электронной почты и системных уведомлений).
3.2. Учет времени, затраченного на проведение встречи.
3.3. Резервирование общих ресурсов компании и разрешение конфликтов при их использовании.
Несмотря на наличие PSA-систем многие российские компании по-прежнему остаются верны старым методам автоматизации, а некоторые вообще предпочитают не делать ничего или продолжают вести учет посредством бумажных тайм-листов (Timesheets). Чаще всего компании прибегают к средствам, которые на самом деле не предназначены для управления аудиторской деятельностью. К этой категории относятся решения класса ERP и хорошо всем известные электронные таблицы (такие, как Microsoft Excel). Однако ERP-системы создаются для промышленных предприятий, поэтому они обычно перегружены излишней функциональностью, а их модули управления проектами, как правило, оказываются довольно слабыми. Безусловно, на рынке существуют мощные специализированные продукты, такие как Microsoft Project, однако они являются программами общего назначения и зачастую, как и ERP-системы, сложны для изучения и применения. К тому же, Microsoft Project не автоматизирует весь цикл аудиторских услуг (для учета времени и мониторинга потребуется устанавливать еще и Project Server).
Учитывая вышеуказанные обстоятельства при выборе и обосновании внедрения управленческих систем автоматизации аудиторской деятельности необходимо принимать во внимание следующие критерии: во-первых, настройка версии создана под отечественного заказчика, а, во-вторых, учет особенностей соответствия национальной системе нормативной документации.