CC BY
53
ТВОРЧЕСТВО МОЛОДЫХ УЧЕНЫХ
К.В. АВДИЕНКО
Константин Владимирович АВДИЕНКО — аспирант кафедры бухгалтерского учета и аудита СПбГЭУ.
В 2010 г. окончил СПбГУЭФ.
Автор 2 публикаций.
Область научной специализации — бухгалтерский учет, аудит, контроль, анализ.
^ ^ ^
ИСПОЛЬЗОВАНИЕ СРЕДСТВ КОНТРОЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ В УЧЕТНО-ИНФОРМАЦИОННОМ ОБЕСПЕЧЕНИИ УПРАВЛЕНИЯ ХОЛДИНГОМ* *
Достижение эффективности управления, в том числе эффективности реализации функции контроля, возможно только при интегрированном подходе к учетно-информационному обеспечению, предполагающему полную взаимосвязь и взаимодействие бухгалтерского, управленческого, налогового и статистического учета. Применение интегрированной системы учета обеспечит сопоставимость и соответствие данных различных подсистем учета, основанных на использовании единого информационного пространства. Для того чтобы данные, содержащиеся в интегрированной системе учета, могли служить источником учетно-информационного обеспечения управленческих решений, необходимо обеспечить разумную гарантию достоверности учетных данных.
В течение последних 15 лет развитие информационных технологий было стремительным. Сегодня не остается сомнений в том, что информационные системы неразрывно связаны с системой внутреннего контроля холдинга. Нельзя не согласиться с тезисом, что функционирование информационной системы обеспечивается, в том числе, посредством технических средств и программного обеспечения, являющихся частью такой системы [6]. Данное утверждение подкрепляется мнением членов Комитета спонсорских организаций Комиссии Тридуэя о том, что увеличение использования новых технологий в целях оптимизации бизнес-процессов обусловливает усиление роли ИТ средств контроля [11].
Такие документы, как «Внутренний контроль: интегрированный подход» (COSO)», «Управление рисками организации. Интегрированный подход» (COSO ERM)», стандарт «Цели контроля при использовании информационных технологий» (COBIT), являются широко цитируемыми в научной литературе. Однако их применение рассматривается с точки зрения информационных технологий [4; 5] или финансовой отчетности [1, с. 61; 2, с. 58; 7, с. 15] и не фокусируется на учетно-информационном обеспечении управления. На практике успешному функционированию системы контроля в холдингах препятствует не полная, а выборочная реализация положений, содержащихся в указанных документах. На наш взгляд, необходимо провести аналогию положений указанных документов применительно к управленческому учету и отчетности, подготовленной для внутренних пользователей, что позволит расширить сферу применения контроля в холдингах, в том числе на практике дополнить систему контроля важным блоком ИТ контролей.
ГРНТИ 06.35.31 © К.В. Авдиенко, 2014
* Публикуется по рекомендации д-ра экон. наук, проф. Ж.Г. Леонтьевой.
66
ТВОРЧЕСТВО МОЛОДЫХ УЧЕНЫХ
Контроль за формированием информации в автоматизированной информационной системе может быть обеспечен путем введения автоматизированных процедур — ИТ средств контроля, которые должны быть идентичны во всех компаниях холдинга. На наш взгляд, необходимо уделять особое внимание разработке и организации ИТ контролей данных управленческого учета, получаемых из интегрированной системы учета холдинга, и последующему мониторингу средств контроля. При современном уровне развития информационных технологий данные управленческого учета, служащие для принятия решений, сильно отличаются от данных, используемых для подготовки финансовой отчетности.
Организация и внедрение ИТ средств контроля должны осуществляться совместными усилиями служб, ответственных за ввод, изменение и удаление данных в автоматизированной информационной системе, основными из которых являются бухгалтерские службы, службы внутреннего аудита холдинга, а также ИТ службы холдинга. На наш взгляд, методические требования к организации ИТ средств контроля должны разрабатываться на уровне головной организации. Непосредственная же организация ИТ средств контроля должна осуществляться компаниями холдинга самостоятельно, с учетом возможностей автоматизированных информационных систем и специфики видов деятельности подконтрольного общества.
К таким контрольным действиям можно отнести автоматизацию бухгалтерских и управленческих проводок — автоматический выбор корреспондирующих счетов учета, автоматический ввод в систему взаимосвязанных проводок.
Для данных управленческого учета мы предлагаем ввести в качестве дополнительного контрольного действия автоматическое присвоение квалифицирующих признаков, использование иерархических справочников квалифицирующих признаков, позволяющих при присвоении кода аналитики самого нижнего уровня автоматически присвоить другие взаимосвязанные квалифицирующие признаки. Также целесообразна организация ИТ контроля в виде автоматического запрета проведения проводки без ввода всех квалифицирующих информацию признаков. Цель такого контроля — обеспечение полноты присвоения квалифицирующих информацию признаков и, как следствие, обеспечение разумной гарантии того, что при использовании квалифицирующих информацию признаков в целях выборки необходимых данных при формировании внутренней отчетности для управленческих нужд будет обеспечена полнота выборки.
Под квалифицирующим информацию признаком мы понимаем характеристику объекта учета и объекта бюджетирования, позволяющую систематизировать объекты в необходимом для целей управления виде. Такими характеристиками могут быть: счета учета, субсчета, коды и шифры аналитики, данные о реквизитах, временные характеристики объекта учета или бюджетирования и т. д. Квалифицирующие признаки через систему субсчетов и шифров, кодов аналитики должны обеспечивать возможность систематизации данных, которые обеспечивали бы в полном объеме управленческие информационные запросы. Именно автоматизация присвоения квалифицирующих признаков и ИТ контроль полноты их присвоения особенно важны для целей управленческого учета. Таким образом, посредством автоматизированных контрольных действий может осуществляться контроль не только бухгалтерского, но и управленческого учета, так как через квалифицирующие информацию признаки осуществляется трансформация данных из одной системы учета в другую.
В целях реализации задач управленческого контроля в области полномочий и процессов необходимо обеспечить контроль доступа к вводу информации об объектах учета в интегрированную систему учета. Как справедливо отмечает Д. Вульф [13], это может быть достигнуто посредством ИТ средств контроля ввода данных. Так, ввод и изменение данных как бухгалтерского, так и управленческого учета в информационной системе могут осуществляться только определенным пользователем с использованием защиты от несанкционированного доступа. Современный этап развития технологий позволяет применять широкий спектр контролей в части санкционирования доступа [3]. Для этого пользователям присваивается своя роль в автоматизированной информационной системе, дающая право на ввод и изменение учетных данных. Предоставление пользователям таких прав должно утверждаться менеджментом компании холдинга.
Службам внутреннего аудита холдинга необходимо обеспечить регулярный мониторинг того, что предоставление пользователям доступа к вводу учетных данных было утверждено менеджментом, выданные права соответствуют текущим должностным обязанностям сотрудников, пользователи
ТВОРЧЕСТВО МОЛОДЫХ УЧЕНЫХ
67
с расширенными правами (ИТ служба, администраторы) не осуществляют ввода и изменения учетных данных, а если это не так, то выяснить конкретные обстоятельства таких операций, а также то, что блокировка записей уволенных сотрудников осуществляется своевременно и не производится ввода в систему данных под видом таких пользователей. Требования к ИТ контролю санкционирования доступа должны быть едины для ввода и изменения не только бухгалтерских данных, но и всей информации интегрированной системы учета и имеют своей целью минимизацию риска преднамеренного искажения управленческой информации.
В целях соответствия информационной системы холдинга требованиям международных документов COSO, COSO ERM, стандарту COBIT необходима организация ИТ средств контроля по защите сохраненной информации. Такие средства контроля предполагают, что любое изменение или удаление учетных данных должно оставлять след в автоматизированной системе и давать возможность проверить, кто из пользователей, какие данные и когда вносил, изменял или удалял. Мониторинг службами внутреннего аудита холдинга функционирования таких средств контроля путем применения аналитических аудиторских процедур позволит снизить вероятность преднамеренного искажения учетной информации, используемой для управленческих нужд. Так, например, изменение квалифицирующих информацию признаков может иметь своей целью фиктивное достижение плановых показателей, службе внутреннего аудита необходимо проводить мониторинг с учетом такого риска.
Вышеперечисленные автоматизированные контрольные действия необходимы для того, чтобы обеспечить соблюдение предпосылок подготовки не только финансовой, но и внутренней отчетности и управленческой информации.
Службами внутреннего аудита компаний холдинга в целях реализации задач контроля в области управленческого учета должен производиться регулярный мониторинг ИТ средств контроля. Согласимся с мнением членов института внутренних аудиторов [8, p. 11], что мониторинг ИТ средств контроля в общем мало отличается от другой аудиторской работы. Необходимо спланировать контрольные процедуры, определить существующие ИТ контроли и задокументировать их описание, провести их тестирование, вынести мнение и подготовить отчет. Мониторинг должен быть направлен на проверку необходимости и достаточности существующих ИТ контролей текущему состоянию автоматизированной информационной системы и интегрированной системы учета холдинга, а также на проверку функционирования существующих ИТ средств контроля.
По нашему мнению, в части проверки необходимости и достаточности ИТ средств контроля служба внутреннего аудита, в частности, должна проверять, повлияли ли изменения в программных продуктах или в системе учета (например, перечень квалифицирующих информацию признаков) на такие ИТ контроли.
На наш взгляд, подобный мониторинг в части функционирования ИТ средств контроля может быть осуществлен посредством тестирования автоматических ИТ контролей или целевого тестирования. Тестирование автоматических ИТ контролей может быть проведено посредством однократного тестирования контроля на предмет его корректного срабатывания. Посредством целевого тестирования целесообразно осуществлять контроль за нестандартными хозяйственными операциями, которые приводят к возникновению устаревших или нетипичных записей в интегрированной учетной системе, выделяющихся значительной суммой операций, временем совершения записи (например, ночное время суток) в системе или пользователем (например, сотрудники служб, отличных от бухгалтерской), нехарактерными квалифицирующими признаками.
По нашему мнению, в отношении проведения службами внутреннего аудита мониторинга ИТ средств контроля управленческого учета, так же как и бухгалтерских данных, целесообразно применять требования, разработанные для целей внешнего аудита. Так, например, особое внимание необходимо уделять контролю записей и изменений [9] по окончании цикла формирования отчетностей, как финансовой, так и подготовленной для нужд управления холдингом.
Службами внутреннего аудита подконтрольных обществ должна составляться регулярная отчетность по результатам мониторинга ИТ средств контроля, содержащая информацию о нарушениях и рекомендации. В обязанности службы внутреннего аудита головной компании холдинга должно входить регулярное предоставление сводной отчетности по результатам мониторинга ИТ средств контроля комитету по аудиту в составе совета директоров.
Средства контроля информационных систем и их задачи представлены на рисунке.
68
ТВОРЧЕСТВО МОЛОДЫХ УЧЕНЫХ
С Задачи, решаемые посредством внедрения средств контроля информационных систем:
- снижение вероятности ошибок, связанных с человеческим фактором;
- снижение вероятности манипуляций информацией;
- обеспечение сопоставимости данных различных подсистем учета;
- снижение трудозатрат при осуществлении контроля;
- снижение трудозатрат при осуществлении учета и планирования.
-в Я о
О “с X
н Й, s Я ^ Н О О о
9, 13 "о
га
я 3 о 2 н Щ a н
2 43 • о
to
Рис. Средства контроля информационных систем и их задачи
Выполнение указанных задач позволяет обеспечить высокое качество учетно-информационного обеспечения управления и снизить затраты на персонал, участвующий в его формировании.
Наличие эффективных ИТ средств контроля, применяемых, в том числе, к управленческому учету, позволяет обеспечить разумную гарантию достоверности учетно-информационного обеспечения управления. Поэтому целесообразно применение положений международных документов COSO, COSO ERM, стандарта COBIT относительно ИТ средств контроля всей интегрированной системы учета холдинга, а не только бухгалтерского учета и финансовой отчетности.
ЛИТЕРАТУРА
1. Абдулаева И.И. Цели и принципы организации системы внутреннего контроля // Инновационное развитие экономики. 2011. № 4. С. 61-63.
2. Баранова О.В. Аудит информационных систем // Вестник финансового университета. 2009. № 1. С. 58-60.
3. Зелевич Е.П. Технологии современных систем контроля и управления доступом // T-Comm: телекоммуникации и транспорт. 2009. № 1. С. 26-29.
4. Карышев М.Ю. Система учетно-аналитических стандартов управления экономическими и производственными процессами в сфере информационно-коммуникационных технологий // Вектор науки Тольяттинского государственного университета. 2011. № 2. С. 165-169.
5. Козлова Н.Ш. Исследование процесса внедрения стандарта COBIT // Вестник Майкопского государственного технологического университета. 2010. № 2. С. 9-12.
ТВОРЧЕСТВО МОЛОДЫХ УЧЕНЫХ
69
6. Постановление Правительства РФ от 23.09.2002 г. № 696 (ред. от 22.12.2011) «Об утверждении федеральных правил (стандартов) аудиторской деятельности». Приложение № 2 к правилу (стандарту) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» // Собрание законодательства РФ. 2002. № 39. Ст. 3797.
7. Сухачева Г.И. Основные элементы системы контроля и надзора за бухгалтерской отчетностью // Все для бухгалтера. 2007. № 7. С. 15-22.
8. Global Technology Audit Guide (GTAG) 4: Management of IT Auditing. 2nd ed. 2013.
9. PCAOB Auditing Standard N 5 An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, 2007.
10. The Committee of Sponsoring Organizations of the Treadway Commission's Enterprise Risk Management // Integrated Framework. 2004. (COSO ERM, Доклад «Управление рисками организации. Интегрированный подход», подготовленный Комитетом спонсорских организаций Комиссии Тридуэя).
11. The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control // Integrated Framework. 2013 (COSO, Доклад «Внутренний контроль: интегрированный подход», подготовленный Комитетом спонсорских организаций Комиссии Тридуэя).
12. The Information Systems Audit and Control Foundation's Control Objectives for Information and related Technology. 2012. (COBIT 5, стандарт «Цели контроля при использовании информационных технологий», разработанный Ассоциацией аудита и контроля информационных систем ISACA).
13. Wolf J. Five steps to audit-proof your IT infrastructure. URL: http://www.computerworld.com (дата обращения: 21.09.2013).
