Оценка внутреннего контроля расчетов с персоналом по оплате труда в условиях применения аудируемым лицом автоматизированной информационной системы Текст научной статьи по специальности «Экономика и бизнес»

Бухгалтерский учет в бюджетных Accounting in Budgetary

и некоммерческих организациях 24 (2016) 24-37 and Non-Profit Organizations

ISSN 2311-9411 (Online) Аудиторская деятельность

ISSN 2079-6714 (Print)

ОЦЕНКА ВНУТРЕННЕГО КОНТРОЛЯ РАСЧЕТОВ С ПЕРСОНАЛОМ ПО ОПЛАТЕ ТРУДА В УСЛОВИЯХ ПРИМЕНЕНИЯ АУДИРУЕМЫМ ЛИЦОМ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ*

Вилена Анатольевна ЯКИМОВА

кандидат экономических наук, доцент кафедры финансов, Амурский государственный университет, Благовещенск, Российская Федерация

История статьи:

Принята 22.06.2016 Принята в доработанном виде 04.07.2016 Одобрена 26.07.2016

Ключевые слова: система внутреннего контроля, средства контроля, автоматизация

Аннотация

Предмет. Статья посвящена особенностям системы внутреннего контроля расчетов с персоналом по оплате труда в условиях автоматизации для цели аудиторской проверки. В проведенном исследовании рассмотрена сущность системы внутреннего контроля, влияние информационных технологий на элементы внутреннего контроля, предпосылки подготовки бухгалтерской (финансовой) отчетности, содержание тестов средств контроля. Цели. Целью исследования является совершенствование методического аппарата тестирования внутреннего контроля, учитывающего особенности автоматизированной информационной системы аудируемого лица.

Методология. Исследование базируется на применении методов анализа и обобщения, группировки, оценки рисков средств контроля.

Результаты. Разработаны тесты средств внутреннего контроля для цели аудиторской проверки на примере автоматизированной системы бухгалтерского учета расчетов с персоналом по оплате труда. Исследованы рисковые области и ошибки, которые могут возникнуть в условиях применения методов компьютерной обработки данных. Предлагаемые методические рекомендации по оценке системы внутреннего контроля позволят выявить «слабые места» в бухгалтерском учете, в которых вероятнее всего появление ошибок и нарушение законодательства. На основе разработанных тестов аудитор на этапе планирования может определить содержание, характер, объем и временные рамки аудиторских процедур. Область применения. Разработанные тесты средств внутреннего контроля могут быть использованы в качестве методического обеспечения процедуры планирования аудиторской проверки, осуществляемой индивидуальными аудиторами и аудиторскими организациями. Выводы. Применение информационных технологий является неотъемлемой частью организации учетного и контрольного процесса современного предприятия, что вызывает необходимость совершенствования аудиторских процедур, направленных на поиск ошибок, которые могут возникнуть в информационной среде аудируемого лица.

© Издательский дом ФИНАНСЫ и КРЕДИТ, 2016

Федеральные стандарты аудиторской деятельности содержат рекомендации для аудиторов в отношении планирования процедур по существу на основе понимания деятельности аудируемого лица, в том числе эффективности функционирования системы внутреннего контроля (далее СВК), оценки ее способности выявлять ошибки и нарушения законодательства, снижать риски недобросовестных действий. Знания о хозяйственных операциях, технологии регистрации, обработки, анализа и обобщения учетной информации помогают аудитору определить характер, объем и временные рамки аудиторских процедур. В программе аудиторской проверки, составляемой исходя из оценки рисков существенного искажения информации, больший объем детальных процедур необходимо запланировать в рисковых областях, там,

*Статья публикуется по материалам журнала «Международный бухгалтерский учет». 2016. № 22.

где отсутствуют надежные средства контроля. В настоящее время практически все хозяйствующие субъекты применяют автоматизированные информационные технологии для ведения бухгалтерского учета и анализа, планирования и контроля. Автоматизация бу хг ал т е р с ко го у ч е т а п о з в о л я е т систематизировать, обрабатывать и хранить большой объем данных, оперативно формировать информацию для текущего и последующего контроля, обеспечивать доступность и точность данных информационной системы, проводить автоматизированный анализ экономических показателей для принятия управленческих решений и осуществлять мониторинг деятельности, разграничивать обязанности путем введения системы защиты информации. В связи с этим весьма актуальными в условиях применения автоматизированных информационных систем выступают вопросы методического обеспечения

аудиторской проверки, в том числе оценки функционирования и надежности СВК аудируемого лица.

В системе действующих аудиторских стандартов не существует отдельного стандарта, содержащего особенности проведения аудиторской проверки в условиях автоматизации. До 2005 г. на международном уровне действовали МСА 401 «Аудит в среде компьютерных информационных систем», ПМАП 1001 «Среда ИТ - автономные персональные компьютеры», 1002 «Онлайновые компьютерные системы», 1003 «Среда ИТ -Системы баз данных», 1008 «Оценка рисков и система внутреннего контроля - характеристики КИС и связанные с ними вопросы», которые подробно описывали действия аудитора в условиях компьютерной среды аудируемого лица. На сегодняшний день порядок оценки СВК в условиях применения аудируемым лицом автоматизированных технологий раскрывается в МСА (ISA) 315 «Понимание сферы деятельности субъекта и оценка рисков существенных искажений в финансовой отчетности»1, а на российском уровне - ФП(С)АД 82, положения которого в части оценки СВК существенно не отличаются от МСА 315. В научной литературе исследованиям в области влияния автоматизированных технологий на организацию и методику аудиторской проверки посвящены работы В.И. Подольского [1], О.В. Барановой [2], А.А. Ситнова [3], Н.Г. Каратуновой [4], Г.И. Золоторевой [5], Г.Ю. Агаджанова [6]. В них подробно раскрывается порядок проведения аудита информационных систем, тестирования общей компьютерной системы, характер и причины возникновения ошибок. Данные вопросы требуют дальнейшего углубленного изучения в связи с постоянным совершенствованием информационных технологий в учете, взаимодействием нескольких программных продуктов, внедрением методов

автоматизированного контроля.

1 ISA 315 Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment. Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements. Volume 1.

URL: https://www.ifac.org/

2 Федеральное правило (стандарт) аудиторской деятельности (ФП(С)АД) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности». Утверждено Постановлением Правительства РФ от 23.09.2002 № 696. URL: http://www.minfin.ru

В МСА 401 используется термин «компьютерные информационные системы (КИС)3», который означает применение компьютера любого типа или размера хозяйствующим субъектом для обработки финансовой информации, являющейся важной для аудита, вне зависимости от того, управляется этот компьютер данным хозяйствующим субъектом или третьей стороной. Этот термин и его определение не отражают, для каких именно учетных и контрольных процедур применяется компьютер, поэтому, на наш взгляд, более уместным является использование понятия «автоматизированная», а не «компьютерная» информационная система. Полный комплекс условий автоматизации отражается в понятии «среда (условия) информационных технологий (IT environment)»4, которое означает совокупность внутренних положений и процедур, применяемых организацией, структуру информационных технологий (аппаратно-техническое обеспечение, операционные системы и т.д.), а также прикладное программное обеспечение, применяемое для обеспечения деятельности и достижения стратегических целей, стоящих перед организацией. Таким образом, под автоматизированной информационной системой (АИС) следует понимать в широком смысле комплекс техники и технологии, а именно совокупность информационного, технического (вычислительной и организационной техники, средств обработки, передачи и вывода информации), программного (операционная система и пакеты прикладных программ), технологического и организационного обеспечения.

Для раскрытия содержания понятия СВК в научной литературе используется преимущественно системный подход. СВК - это постоянно функционирующая система,

направленная на обеспечение выполнения миссии организации и достижения поставленных задач, а также повышающая эффективность системы управления деятельностью организации за счет использования качественной информации, обеспечивающей оперативность принятия управленческих решений, своевременное выявление и анализ рисков; соблюдение законодательства и внутренних политик и процедур, эффективное использование ресурсов, сохранность активов, достоверность финансовой и

3 Computer Information Systems (CIS) (англ.) -Автоматизированная информационная система (АИС).

4 Глоссарий терминов стандартов аудиторской

деятельности. Одобрен Советом по аудиторской деятельности при Минфине России 29 мая 2008 г., протокол № 66.

управленческой отчетности5. М.А. Азарская [7] в авторском определении отражает ориентацию внутреннего контроля на защиту от правовых и репутационных рисков, выявление мошенничества персонала, поиск резервов для повышения эффективности компании, достижение стратегических целей и др. Р.Н. Сунгатуллина и О.Л. Гоголева [8] определяют СВК как специально организованный управленческий механизм, включающий собственные методики и процедуры, позволяющий достичь поставленных стратегических и тактических целей, выявляющий и предотвращающий преднамеренные или непреднамеренные, незаконные и нерациональные факты хозяйственной жизни, влияющие на достоверность бухгалтерской (финансовой) отчетности. В.В. Бурцев [9] подчеркивает, что внутренний контроль как система состоит из элементов входа (информационное обеспечение контроля), элементов выхода (информация об объекте управления, полученная в результате контроля) и совокупности взаимосвязанных звеньев: среды контроля, центров отве тственно сти, техники контроля (информационно-вычислительная техника и технология), процедур контроля и системы учета. Определение В.В. Бурцева, на наш взгляд, соответствует системному подходу и наиболее полно отражает сущность СВК в условиях автоматизации, выделяя технику и технологию обработки информации в качестве отдельных составляющих элементов.

Рассматривая внутренний контроль как систему, находящуюся под воздействием условий АИС, следует учитывать особенности каждого элемента СВК. Модель СВК, представленная в ФП(С)АД 8, соответствует модели COSO и состоит из пяти взаимосвязанных компонентов: контрольная среда (Control Environment), система выявления и оценки рисков (Risk Assessment), контрольные процедуры (Control Activities), информационная среда и система коммуникаций (Information and Communication), мониторинг СВК (Monitoring). Контрольную среду образуют информационный обмен и воспитание добросовестности этических ценностей, стремление к компетентности, участие представителей собственника, основные принципы и стиль руководства, организационная структура, распределение полномочий и обязанностей, кадровая политика и практика [10]. Объектом контрольной среды в рамках АИС

5 Чхутиашвили Л.В. Роль внутреннего контроля организации в эффективном ведении финансово-хозяйственной деятельности // Финансовая аналитика: проблемы и решения. 2014. № 11. С. 37-47.

является территориально-распределенная

сеть (Wide Area Network (WAN)), под которой понимается сеть передачи данных по обмену информацией между подразделениями хозяйствующего субъекта, городами и странами, и которая обеспечивает доступ к прикладным программам с удаленных терминалов6.

Информационная система выступает главным компонентом СВК, поскольку именно в ней происходит формирование информационной базы данных на основе применения ав то м ати з и р о в ан н ы х те хн о л о г и й .

В информационной системе аудируемого лица, включающей систему бухгалтерского учета (процедуры и записи, установленные для инициирования хозяйственных операций аудируемого лица, регистрации, обработки и включения их в отчетность) применяются технические средства и программное обеспечение. С помощью автоматизированных

информационных технологий обеспечивается обработка учетных записей, которая оказывает влияние на степень надежности, полноты, достоверности формируемой бухгалтерской отчетности. Э.К. Арабян [11] информационную систему рассматривает как совокупность двух отдельных элементов - систему компьютерной обработки данных и систему учета и подготовки финансовой отчетности. Заслуживает внимание подход Т.Ю. Серебряковой, согласно которому АИС связывает все объекты в технологическую цепочку сбора информации и обеспечивает доступ к информации и системам накопления, информирование конкретных сотрудников об их обязанностях, а также о существенных вопросах, имеющих отношение к финансовой отчетности [12]. Е.И. Волошина справедливо подчеркивает, что действенность внутреннего контроля в условиях компьютеризации реализуется через обеспечение защищенности информационной системы, которая должна соответствовать требованиям целостности (изменение только в установленном порядке), доступности (отказ в доступе нелегальному пользователю), конфиденциальности (отказ в доступе не уполномоченным пользователям), ответственности (пользователь не может отказаться от авторства выполненного действия) [13].

Средства контроля как элемент СВК представляют собой политику и процедуры,

6 Глоссарий терминов стандартов аудиторской деятельности, одобрен Советом по аудиторской деятельности при Минфине России 29 мая 2008 г., протокол № 66.

которые помогают удостовериться, что распоряжения руководства выполняются, а ошибки и нарушения своевременно выявляются и исправляются. Средства контроля в отношении информационных систем могут быть признаны эффективными, если они обеспечивают верность информации и защиту исходных данных, обрабатываемых такими системами. Мониторинг средств контроля рассматривается как процесс наблюдения и оценки функционирования СВК во времени, способности технического обеспечения реагировать на критические ситуации и оперативно предотвращать ошибки, технические сбои. В Информации Минфина РФ7 рекомендуется в качестве приемлемых процедур внутреннего контроля использовать документальное оформление, подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям, санкционирование (авторизацию) хозяйственных операций, сверку данных, разграничение полномочий и ротацию обязанностей, физический контроль, в том числе охрану, ограничение доступа, инвентаризацию объектов, надзор, процедуры, связанные с компьютерной обработкой информации и информационными системами. Л.В. Чхутиашвили8 в качестве инструментов внутреннего контроля выделяет внутренние регламенты, должностные инструкции, процедуры взаимодействия со структурными подразделениями и руководством компании, правовые базы данных, позволяющие отслеживать и оценивать изменения налогового законодательства (проводить мониторинг нормативно-правовой базы), методологические разъяснения, основанные на анализе позиции финансовых и налоговых органов и правоприменительной практики, а также автоматизированные программы бухгалтерского учета и иное программное обеспечение. Влияние процесса автоматизации на контрольные процедуры следует рассматривать с двух позиций: средства контроля как автоматизированный тип контроля и как методы проверки АИС. Первой позиции придерживается В.В. Бурцев [9], который разделяет внутренний контроль на три типа: неавтоматизированный, неполностью и полностью автоматизированный. В качестве примеров

7 ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности». URL: http://www.minfin.ru

8 Чхутиашвили Л.В. Роль внутреннего контроля организации в эффективном ведении финансово-хозяйственной деятельности // Финансовая аналитика: проблемы и решения. 2014. № 11. С. 37-47.

автоматизированного контроля приводятся автоматическое обнаружение и исправление ошибки прикладной компьютерной программой; работа программ, обеспечивающих выделение или перечисление тех пунктов, которые не соответствуют установленным критериям; работа антивирусных программ; программные проверки типа подсчета общих сумм для контроля правильности расчетов; программные проверки на соответствие данных и выдача информации по отсутствию соответствия (например, сравнение неоплаченных счетов-фактур на закупку с файлами записей по полученным товарам); работа контрольных модулей корпоративных систем и самодиагностика программных средств. Автоматизированные средства контроля могут быть встроены в программный продукт и обеспечивать возможность проведения обзорных проверок и анализа фактических показателей в сравнении со сметными, прогнозными показателями, с показателями за предыдущие периоды, проверку результатов деятельности по областям, подразделениям, направлениям и т.п. Средства контроля, применяемые при проверке автоматизированной информационной системы, МСА 315 и ФП(С)АД 8 подразделяют на общие и прикладные (рис. 1). Прикладные средства контроля А.Ю. Меринов определяет как «процессные средства контроля», которые предназначены для отслеживания уместности и обоснованности информации, получаемой от находящихся в их основе процессов (и подразделений), а также для отслеживания эффективности средств контроля, работающих в рамках процесса (одновременно в нескольких местах) [14].

Для оценки надежности и результативности функционирования СВК аудитор применяет особые методы, получившие название «тесты средств контроля», по которым в соответствии с перечнем тестируемых вопросов дается качественная и (или) количественная оценка СВК. В ходе оценки СВК аудитор изучает степень выполнения основных задач: обеспечение достоверности бухгалтерской (финансовой) отчетности, повышение эффективности финансово-хозяйственной деятельности экономических субъектов, минимизацию рисков недобросовестных действий, соблюдение законодательства при совершении хозяйственных операций. В случае обнаружения высокого риска в средствах контроля не только увеличивается риск существенного искажения бухгалтерской о тче тно с ти, но и в о зникае т р иск

недобросовестных действий. Согласно ФСАД 5/20109 СВК не позволяет эффективно выявлять факты мошенничества, если мониторинг средств контроля, включающих автоматизированные средства контроля, является неадекватным, отмечается высокая текучесть кадров или найм неквалифицированного персонала в области внутреннего аудита и информационных технологий, неэффективное функционирование учетных и информационных систем.

В связи с широким использованием процедур автоматизации, которые оказывают влияние на все элементы СВК аудируемого лица, методология аудиторской проверки стала расширяться, что в свою очередь ставит задачу совершенствования процедур оценки СВК. В монографии Г.В. Максимовой выделены два направления оценки: во-первых, контроль за выполнением технологии процесса обработки данных с учетом персонализации (формы учета, способы сбора, хранения и обработки информации), а во-вторых, контроль с позиции эффективности функционирования элементов учетной политики в сфере создания первичных бухгалтерских документов (система документирования операций, сбора, хранения и использования нормативной информации). Контроль надежности технологии процесса обработки учетной информации, по мнению Г.В. Максимовой, позволяет оценить его персонализацию, т.е. определить качество исполнения бухгалтерских записей конкретным лицом как на различных уровнях учета, так и по различным функциональным его разделам [15]. В Глоссарии терминов стандартов аудиторской деятельности10 средства контроля прав доступа содержат «проверку подлинности личности пользователя» и «авторизацию пользователя». Проверка подлинности личности пользователя осуществляется с помощью уникальных регистрационных имен, паролей, карт доступа или биометрических данных. Авторизация пользователя - это набор процедур, с помощью которых определяется, к каким компьютерным ресурсам имеет право доступа каждый из пользователей. Такие процедуры призваны обеспечить информационную безопасность и предотвратить или обнаружить несанкционированный доступ к интерактивным

9 Федеральный стандарт аудиторской деятельности № 5/2010 «Обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита». Утвержден Приказом Минфина РФ от 17.08.2010 № 90н.

URL: http://www.minfin.ru

10 Глоссарий терминов стандартов аудиторской деятельности. Одобрен Советом по аудиторской деятельности при Минфине России 29 мая 2008 г., протокол № 66.

терминальным устройствам, программам и данным; ввод данных о несанкционированных операциях; внесение несанкционированных изменений в файлы данных; использование компьютерных программ сотрудниками, не имеющими на это полномочий; использование несанкционированных компьютерных программ.

В рамках тестирования средств контроля некоторые авторы (В.И. Подольский и др. [1], Г.Ю. Агаджанов [6], О.Г. Попова [16], Е.И. Волошина [13], Е В. Шлифер [17]) предлагают в ходе аудиторской проверки оценивать принципы функционирования, техническое обеспечение системы КОД, знания специалистов бухгалтерской службы и их умение работать с программой, соответствие алгоритмов требованиям нормативных актов, обеспечение сохранности информации и ее архивирования в базе данных, порядок передачи данных с использованием каналов связи, наличие процедур мониторинга, возможности обновления для гибкого реагирования на изменения законодательства, расширения функций. Тестирование АИС предполагает проверку полноты отражения на машинных носителях исходной информации, соответствия компьютерных и документированных данных, полноты и правильности регистрации исходных данных в компьютерной системе, возможности гибкого реагирования на изменение нормативно-законодательной базы с точки зрения настройки программного обеспечения, осуществления аналитических процедур [13]. Г.И. Золоторева [5] предлагает процедуры проверки наличия защиты информации, лицензий, сертификатов и технических средств защиты, разграничения доступа персонала, должностных инструкций по обработке данных, обеспечение конфиденциальности при хранении и использовании ключевой, парольной и аутентифицирующей информации, ограничения доступа к компьютерной технике и программе.

При формировании тестовых вопросов для оценки СВК наиболее эффективным является рисковый подход, предполагающий постановку вопросов, направленных на выявление областей, где наиболее вероятны «узкие места» в контрольной системе. Следует учитывать, что в условиях АИС рисковые области имеют особенности. Сгруппированные рисковые области и их соотношение с элементами СВК приведены в табл. 1.

Как видно из информации, приведенной в табл. 1, риски увеличиваются из-за ошибок так

называемого «человеческого фактора», вызванные как невнимательностью, так и низкой компетентностью или умышленными действиями. Исключить появление данных ошибок в автоматизированной системе практически невозможно, но вполне допустимо минимизировать риск путем предъявления требований к знанию и умению работы с программным продуктом, постоянном повышении квалификации, разработке детальных инструкций и консультировании со специалистами программного обеспечения. Ошибки человеческого фактора в АИС выявляются и контролируются с помощью авторизации доступа, который должен совпадать с должностными обязанностями сотрудника и его правами на ввод и корректировку данных. В условиях АИС тщательной проверке подлежат операции, требующие интерпретации законодательством, обоснования выбора пользователем методов учета и применения оценочных суждений. Автоматизация бухгалтерского учета при правильных настройках, применении технологии ввода данных пользователем в программный продукт исключает арифметические и логические ошибки обработки данных, обобщения данных первичного учета и формирования учетных регистров.

В соответствии с ФП(С)АД 8 аудитор должен рассмотреть риски существенного искажения бухгалтерской отчетности, которые могут возникнуть в связи с не надлежащим вмешательством в работу средств контроля в отношении нестандартных бухгалтерских проводок. В системе автоматизации стандартные, многократно повторяющиеся операции называют типовыми и для них разрабатываются шаблоны, которые представляют собой сценарии формирования корреспонденции счетов, позволяющие отразить хозяйственную операцию в учете [16]. Такой способ формирования бухгалтерских проводок получил название «автоматизированная генерация бухгалтерских операций и корреспонденции счетов на основе типовых операций для ввода часто повторяющихся операций». Для ручного ввода, когда пользователь самостоятельно заполняет все реквизиты, вводит в компьютерную систему операции и определяет корреспондирующие счета, программные п р о д у к т ы н е п р е д у с м ат р и в а ю т автоматизированных средств контроля. Однако аудитор должен принимать во внимание, что нетиповые счета, нестандартные бухгалтерские записи могут быть связаны со спецификой

деятельности аудируемого лица, его отраслевыми и внутрихозяйственными особенностями. Операции, оформленные не в соответствии с типовыми документами, подлежат особому контролю со стороны аудитора. В ФСАД 5/2010 сказано, что в отношении нестандартных учетных записей не могут применяться те же средства контроля, что и в отношении учетных записей, вносимых на регулярной основе при отражении типичных хозяйственных операций.

Рисковыми областями возникновения ошибок являются корректировки, сделанные пользователем в программе, особенно на конец отчетного периода, которые могут свидетельствовать об умышленных действиях. При внесении изменений в автоматическую разноску по счетам какое-либо должностное лицо может обойти информационные технологии и следов корректировок может не остаться в программе и на бумажном носителе. Следует убедиться в отсутствии балансирующих статей (счетов), в состав которых могут включаться данные, если в момент ввода не ясно, по какой статье (счету) их следует отразить, или в случаях отсутствия балансового равенства для аккумулирования сумм расхождений. При применении компьютерных способов обработки данных не исключается вероятность ручного переноса данных из оборотно-сальдовой ведомости, сформированной в программе в бухгалтерскую отчетность, также как и «ручная корректировка» статей отчетности. ФСАД 5/2010 указывает на тщательную проверку учетных и исправительных записей, которые могут ввести в заблуждение, правильности распределения обязанностей, наличия контроля за расходами, системы санкционирования операций, наличия полной и своевременной инвентаризации, своевременного надлежащего документирования, осведомленности руководства аудируемого лица в области информационных технологий, контроля за правами доступа к автоматически осуществляемым учетным записям и ведением журналов регистрации в информационных системах.

Исходя из рисковых областей в условиях АИС, где отмечается высокая вероятность ошибок и недобросовестных действий, представляется необходимым уточнить содержание предпосылок подготовки бухгалтерской отчетности. Предпосылки выполняют целевую роль, их назначение заключается в отражении желаемого результата, к которому стремиться аудитор при сборе и накоплении достаточных и надлежащих аудиторских доказательств [19]. На наш взгляд,

влияние АИС на содержание предпосылок выражается следующим образом:

• существование и возникновение - применение АИС не исключает необходимости проверки фактического наличия событий и операций, активов и обязательств;

• оценка и точное измерение - в случае правильности формирования учетной политики и выбора правильных параметров настроек в программе снижается риск возникновения методологических ошибок и оценки учетных объектов, но не исключены ошибки неверного ввода сумм операций;

• полнота - возможны ошибки проведения повторных операций или неотражения данных;

• права и обязанности - автоматизированные технологии не исключают необходимости оценки правомерности и законности операций, прав на активы и обязательства;

• классификация - при правильных настройках программы и корректного ввода данных, применения стандартных документов, правильного выбора субконто практически и с кл ю чаю т с я о ш и б ки не в е р н о й корреспонденции счетов, при классификации активов и обязательств пользователь сам делает выбор;

• документальное оформление - в программные продукты встроены типовые унифицированные формы документов, что снижает риск несоблюдения обязательных реквизитов;

• отнесение к соответствующему периоду -условия АИС не исключают необходимость проверки отражения данных в соответствующем отчетном периоде, проверки перенесения данных на более поздние или ранние периоды, поскольку дату хозяйственной операции определяет пользователь программы.

Скорректированное содержание предпосылок в условиях АИС предлагается применять при планировании аудиторских процедур по существу и тестов средств контроля. Рассмотрим особенности СВК на примере одного из объектов аудита - расчетов с персоналом по оплате труда. На рис. 2 представлена организация информационной системы данного объекта аудита при использовании наиболее распространенных программных продуктов.

При проверке оплаты труда информационная система как элемента СВК включает в себя

регламентные процессы обработки информации в программе «1С:Бухгалтерия предприятия», которая позволяет обобщить и систематизировать информацию о начислении и выплате заработной платы, о суммах задолженности перед персоналом, бюджетом по НДФЛ и внебюджетными фондами, оперативно формировать бухгалтерскую (финансовую) и налоговую отчетность. Учет рабочего времени, формирование кадровой документации, начисление заработной платы, НДФЛ, взносов во внебюджетные фонды производится в программном продукте «1С:Зарплата и управление персоналом».

В случае выплаты заработной платы безналичным способом аудируемое лицо может применять автоматизированную систему расчетов через обсуживающий банк с помощью программы «Банк-клиент». Как показано на рис. 2, между программными продуктами производится выгрузка информации, которая требует от аудитора отдельного рассмотрения, поскольку ошибки могут оказать существенное влияние на данные отчетности. Аудитор должен ознакомиться в рамках информационной системы с каналами прохождения информации и регламентными процессами, оценить состояние информационного и программного обеспечения, получить информацию о сбоях, дополнительных настройках.

В настоящее время организации передают финансовую отчетность в ФНС РФ, ПФ РФ и ФСС РФ посредством телекоммуникационных каналов связи, что реализуется в программах «СБиС++ Электронная отчетность», «Контур-экстерн». Контрольные действия в рамках КОД включают в себя как ручные средства (регламенты, инструкции проведения контрольных действий, контроль режима доступа к информационной системе, санкционирование операций), так и автоматизированные, встроенные в программные продукты. При использовании программ электронной отчетности для формирования отчетности, а также специализированных программных продуктов ПФР и ФСС РФ, аудитор может быть уверен в отсутствии ошибок, связанных выполнением контрольных соотношений и соблюдения установленной формы отчетности. Тестирование средств контроля предполагает проверку отсутствия ошибок при выгрузке или переносе данных из одной программы в другую, выявление причин корректировок. В части мониторинга аудитору необходимо удостовериться в результативности

наблюдения за функционированием СВК, выполнении рекомендаций по устранению выявленных недостатков.

С учетом особенностей организации бухгалтерского учета и контроля расчетов по оплате труда в условиях АИС нами разработаны и предлагаются тесты средств внутреннего контроля (табл. 2).

Аудитору следует осуществить тестирование функционирования информационной системы в целом и применить общие процедуры контроля, а также оценить надежность прикладных программных продуктов. В начале проверки аудитор, руководствуясь ст. 41 и 57 ТК РФ, должен проверить правильность документального оформления трудовых отношений с работниками, установить наличие коллективного договора или индивидуальных трудовых договоров, провести анализ правильности их заполнения, наличия подписей сторон и печати. Если кадровые документы передаются в бухгалтерию не в полном объеме или с нарушениями, то возможны необоснованные начисления и расходование денежных средств. Аудитор должен удостовериться, что заработная плата выплачивается вовремя, а в случае ее задержки сотрудникам выплачивается компенсация. При несоблюдении трудового законодательства возрастает риск штрафных санкций в случае проверок трудовой инспекцией.

Аудитор должен определить степень автоматизации учетного процесса, ознакомиться с применяемыми средствами автоматизированного контроля, иерархией ответственности, оценить адекватность разграничения полномочий в применяемых программных продуктах. Следует обратить внимание на периодичность сверок, анализов данных по счетам бухгалтерского учета с целью выявления возможных отклонений. Если бухгалтер оперативно осуществляет мониторинг эффективности и правильности работы системы, проводит внутренние проверки, то аудитор получает уверенность в отсутствии ошибок и искажений в итоговых показателях и адекватности обработки данных. Автоматизированный контроль

не исключает умышленные искажения данных, поэтому аудитор должен уделить должное внимание санкционированию и документальному оформлению хозяйственных операций. В ходе тестов СВК аудитору следует проверить правильность оформления первичной документации, наличие подписей должностных лиц, ответственных за учет рабочего времени и объема выполненных работ, проверить наличие исправлений, которые могут свидетельствовать о возможных корректировках, не учтенных в программе или повторном использовании документа. Аудитор должен тщательно проверить порядок выгрузки данных и контрольных процедур, применяемых за сверкой выгружаемых данных. В случае изменения данных в «1С:ЗУП» после выгрузки в «1С:Бухгалтерия» в бухгалтерском учете могут отражаться неактуальные данные.

Таким образом, проведенное исследование показало, что в условиях применения автоматизированных информационных технологий модифицируются области и направления оценки системы внутреннего контроля. Возникает необходимость выявления и анализа рисков, связанных с применением компьютерной обработки данных. Аудитор, исходя из оценки функционирования системы внутреннего контроля в условиях автоматизации, при планировании должен правильно распределить трудозатраты и объем процедур, большее внимание уделить проверке состояния, функционирования и защиты программного обеспечения, процедурам ввода и регистрации данных, уровню квалификации пользователей программных продуктов, сохранности базы данных, применению автоматизированных средств контроля. Предлагаемая уточненная методика оценки средств внутреннего контроля с учетом автоматизации на примере проверки расчетов с персоналом по оплате труда позволит сократить трудоемкость аудиторских процедур и выявить рисковые области, в которых наиболее вероятны ошибки и нарушения законодательства, что в свою очередь приведет к повышению качества аудиторской проверки в целом.

Таблица 1

Области с высоким уровнем риска возникновения ошибки и нарушения в условиях применения АИС

Элемент СВК, направленный на предотвращение ошибок и

нарушении

Рисковая область Информа- Контроль- Средства

ционная ная среда контроля

система

Риск неточности обработки программой данных или обработки неточных данных (МСА 315, А.А. Ситнов [3], + - +

В.И. Подольский [1])

Несанкционированный доступ к исходным данным, что может + - +

привести к уничтожению данных или их ненадлежащим модификациям (МСА 315, А.А. Ситнов [3], Г.И. Золоторева [5])

Расширенный доступ персонала к данным сверх возложенных полномочий (МСА 315, А.А. Ситнов [3]) - + +

Внесение несанкционированных модификаций в основные файлы баз данных (МСА 315, А.А. Ситнов [3]) + + +

Неспособность произвести модификации в системах или программах, когда это действительно необходимо (МСА 315) + - -

Неуместное стороннее вмешательство (МСА 315) - + +

Потенциальная возможность потери информации (МСА 315, + - +

А.А. Ситнов [3])

Технические риски, риски, связанные с особенностями + - -

строения системы обработки данных (Е.И. Волошина [13])

Организационные риски (Е.И. Волошина [13]) - + -

Отражение несанкционированных данных и неточных операций (А.А. Ситнов [3]) + + +

Ненадлежащее ручное вмешательство (А.А. Ситнов [3]) + + +

Использование нелицензированного программного продукта (Г.Ю. Агаджанов [6]) + + -

Отсутствие должной квалификации учетного персонала при работе в КОД (Г.Ю. Агаджанов [6], В.И. Подольский [1]), - + -

кадровые риски (Е.И. Волошина [13])

Отсутствие целостности системы, децентрализация компьютерной системы и географическая разбросанность + + -

компьютерных установок (Г.Ю. Агаджанов [6], Г.И. Золоторева[5])

Отсутствие внутреннего контроля за функционированием КОД (Г.Ю. Агаджанов [6]) - + +

Несвоевременность ввода данных в программу по - - +

независящим от организации причинам (больших расстояний,

исправлений, из-за «человеческого фактора» стороны, отправившей документ) (Э.А. Таймазова [18])

Некорректный (ошибочный) ввод данных (Э.А. Таймазова [18], Н.Г. Каратунова [4], В.И. Подольский [1]) + - +

Нерациональная расстановка кадров (Э.А. Таймазова [18]) - + -

Неавторизованный ввод данных (Э.А. Таймазова [18]) + - +

Риск ошибок в расчетах (Н.Г. Каратунова [4]) + - +

Технические сбои (Н.Г. Каратунова [4]) - + +

Системные ошибки (в алгоритме, классификаторах, + - -

справочных системах) (Н.Г. Каратунова [4])

Отсутствие контроля за сохранностью данных компьютерного учета и обеспечение конфиденциальности (В.И. Подольский [1]) + +

Источник: составлено автором

Таблица 2

Методические рекомендации по оценке средств контроля в условиях АИС в ходе аудита расчетов с персоналом по оплате труда

Элемент СВК

Общие средства контроля

Процедура оценки

Общие средства контроля

Пассажирская компания «Сахалин»

2011

2012

1. Наличие документооборота и взаимодействия между отделами

Оценить схему документооборота по движению кадровой документации; на выборочной основе проверить этапы передачи документов, сделать оценку адекватности сроков оформления и передачи;

провести процедуру наблюдения за движением кадровых документов между отделами аудируемого лица или внутри бухгалтерии; проверить своевременность передачи

информации о найме, увольнении и кадровых перестановках из отдела кадров в бухгалтерию; удостовериться в правильности разграничения обязанностей по вводу данных в программу и внутреннему контролю

1. Наличие документооборота и взаимодействия между отделами

0,2

2. Порядок хранения кадровых документов

Удостовериться в наличии ответственных лиц за сохранность документов на местах хранения и в архиве; проверить наличие и функционирование средств контроля за ограничением доступа к кадровой

документации_

2. Порядок хранения кадровых документов

7,2

Доходы, млн руб.

Расход^!, млн руб.

(продолжение таблицы)

Элемент СВК

Возможные ошибки и последствия

Действия аудитора в условиях высоких рисков

Общие средства контроля

1. Наличие документооборота и взаимодействия между отделами Отсутствие надлежащего взаимодействия между должностными лицами может привести к некорректному и (или) несвоевременному вводу данных в программу, к утере документов на бумажных носителях, увеличивает риск хищений Увеличить объем выборки при проверке всех операций

2. Порядок хранения кадровых документов Нарушение законодательства в обеспечении хранения документов и обеспечения проверки контролирующими органами, что может повлечь за собой штрафные санкции. Возникает риск документального обоснования учетных записей Применить более надежные процедуры и проверить подробно операции на возможность умышленного сокрытия информации

3. Права доступа к программам Некорректное распределение прав доступа может привести к случайному или умышленному искажению данных Провести более тщательную проверку на предмет возможности ввода несанкционированных операций

4. Информационная поддержка и защита Увеличивается риск ошибок, использование устаревшего законодательства, неверных настроек программ Провести более тщательную проверку в областях изменения законодательства, в периодах сбоев

5. Квалификация работников бухгалтерии Увеличивается риск некорректного ввода и обработки данных в программы, в связи с чем возрастает риск ошибок при начислении оплаты труда Увеличить объем выборки операций, которые были введены в программу менее квалифицированным персоналом

6. Контроль за выгрузкой данных Потеря информации или несвоевременная выгрузка данных между программами приводит к риску существенного искажения данных Осуществить тщательную проверку в периоды выгрузки данных

614.4

493.1

1 496.6

701,9

Прикладные средства контроля

1. Аудит трудовых отношений и соблюдения трудового законодательства

7. Кадровая политика, Положения об оплате труда и т.п.

Нарушения трудового законодательства, что может повлечь за собой штрафные санкции. Отсутствие утвержденной системы премирования может повлечь спорные вопросы при проверках контролирующих

Увеличить объем детальных процедур, выбрать рисковые элементы, процедуры, позволяющие получить более надежные доказательства

8. Трудовые отношения Нарушения трудового законодательства, что может повлечь за собой штрафные санкции. Возникает риск неотражения или несвоевременного отражения в бухгалтерском учете принятия на работу и увольнения работников, увеличиваются риски недобросовестных действий Выявить операции и периоды, в которых наиболее вероятны ошибки, и проверить их сплошным методом или увеличить объем выборки

9. Распорядительные документы на выплату зарплаты, отпускных, премий и т.п. Нарушения трудового законодательства. Возникает риск несвоевременности, неполноты, отсутствия документального подтверждения начисления зарплаты, доплат, надбавок, отпускных Выявить операции и периоды, в которых наиболее вероятны ошибки, и проверить их сплошным методом или увеличить объем выборки

2. Аудит начисления оплаты труда и правильности отражения в бухгалтерском учете

10. Документальное оформление Неправильное и несвоевременное заполнение может привести к ошибкам при начислении оплаты труда Увеличить объем выборки по рисковым операциям

11. Санкционирование Увеличивается риск недобросовестных действий Большее внимание при детальных процедурах уделить несанкционированным операциям, установить причину

12. Автоматизированные средства контроля Процедуры контроля указывают на наличие ошибок, сомнительных бухгалтерских записей, умышленных искажений Увеличить объем выборки по рисковым операциям

3. Аудит удержаний из заработной платы, отражения в бухгалтерском учете

13. Документальное оформление Неправильное и несвоевременное заполнение может привести к ошибкам при начислении НДФЛ или необоснованных удержаний Увеличить объем выборки по рисковым операциям

14. Санкционирование Увеличивается риск недобросовестных действий, риск занижения налоговой базы по НДФЛ Большее внимание при детальных процедурах уделить несанкционированным операциям, установить причину

15. Автоматизированные средства контроля Процедуры контроля указывают на наличие ошибок, сомнительных бухгалтерских записей, умышленных искажений Увеличить объем выборки по рисковым операциям

4. Аудит погашения задолженности перед персоналом по оплате труда

16. Документальное оформление Неправильное и несвоевременное заполнение может привести к необоснованному расходованию средств, увеличивается риск мошенничества Увеличить объем выборки по рисковым операциям

17. Санкционирование Увеличивается риск недобросовестных действий Большее внимание при детальных процедурах уделить несанкционированным операциям, установить причину

18. Автоматизированные средства контроля Некорректное использование системы «Банк-клиент» может привести к искажению остатков на счетах денежных средств и ошибкам по учету выплаты зарплаты Увеличить объем выборки по рисковым операциям

19. Средства контроля, применяемые аудируемым лицом, за соблюдением расчетной дисциплиной Бесконтрольные операции и записи в учете увеличивают риск ошибок и искажений, как умышленного, так и неумышленного характера Увеличить объем выборки по тем операциям, по которым отмечается высокий риск ошибок, применить более надежные процедуры

5. Аудит расчетов с внебюджетными фондами

20. Автоматизированные средства контроля Отсутствие процедур контроля или их результаты указывают на наличие ошибок, сомнительных бухгалтерских записей, умышленных искажений Увеличить объем выборки по рисковым операциям

21. Средства контроля Бесконтрольные операции и записи в учете увеличивают риск ошибок и искажений как умышленного, так и неумышленного характера Увеличить объем выборки к тем операциям, по которым отмечается высокий риск ошибок

6. Аудит формирования и использования резерва на оплату отпусков

22. Автоматизированные средства контроля Корректировки и сомнительные бухгалтерские записи увеличивают риск ошибок и умышленных искажений Увеличить объем выборки по рисковым операциям

7. Аудит правильности и полноты раскрытия информации в бухгалтерской и налоговой отчетности

23. Автоматизированные средства контроля Результаты процедур контроля или их результаты указывают на наличие ошибок, сомнительных бухгалтерских записей, умышленных искажений Увеличить объем выборки по рисковым операциям

Источник: составлено автором

Рисунок 1

Классификация средств контроля

Средства контроля

+ г

Общие - политика и процедуры, которые имеют широкие области применения и предназначены для обеспечения эффективного функционирования прикладных средств контроля, помогая удостовериться в правильном бесперебойном функционировании информационных систем. Включают в себя:

- контроль за изменением программного обеспечения (далее ПО);

- ограничение доступа к ПО, базам данных;

- реализацию новых версий прикладных пакетов ПО. систем, которые ограничивают доступ к сервисным программам системы или обеспечивают фиксацию того. кто. когда и какие изменения внес в данную систему

Прикладные - процедуры, используемые для инициирования операций, регистрации, обработки и обобщения хозяйственных операций или другой финансовой информации. Помогают удостовериться, что данные хозяйственные операции действительно имели место, были санкционированы надлежащим образом, а также в полном объеме и точно зафиксированы и обработаны информационными системами. Включают в себя:

- контрольное тестирование компьютером вводимых данных или контроль сквозной нумерации вводимых документов с последующей выдачей персоналу, выполняющему учетные функции, сообщений или справок о выявленных несоответствиях;

- проверку арифметической точности бухгалтерских записей;

- ведение учета и обзорная проверка счетов, составление оборотных ведомостей

Источник: составлено автором Рисунок 2

Организация СВК расчетов по оплате труда в условиях АИС [

Информационная система

«Б анк-клнент»

«1С: Зарплата и управление персоналом»

Встроенные автомати зированные средства контроля

/'_: чной ввод данных или автоматизированная загрузка выгрузка

Автоматизированная выгрузка

Дебетовый оборот «1С: Бухгалтерия предприятия» Кредитовый

по счетам 70. 68.01. Формирование бухгалтерской отчетности оборот по счетам

69 Встроенные автоматизированные 70, 68.01.69

средства контроля

Ручной свод санных или выгрузка данных

«Подготовка расчетов для ФСС»

Специализированные программы ПФ РФ(С11еск['ГК.

Документы ПУ 6. Бри огЬ, ПД СПУ. Рзу^У, ПК «ПЕРС», Сверка ИС и Перечней. Перечень льготных профессий)

Передача отчетности по ТКС

«Налогоплательщик ЮЛ»

«СБпС++ Электронная отчетность», «Контур-экстерн»

Автоматизированный контроль-проверка с помощью контрольных соотношений.

передача отчетности по телекоммуника ■

ционным каналам связи

Источник: составлено автором

Список литературы

1. Подольский В.И., Щербакова Н.С., Комиссаров В.Л. Компьютерные информационные системы в аудите. М.: ЮНИТИ-ДАНА, 2015. 163 с.

2. Баранова О.В. Циклический подход к аудиту финансовой отчетности в условиях компьютерной обработки данных // Аудит и финансовый анализ. 2011. № 5. С. 195-202.

3. СитновА.А. Аудит информационных систем // Аудиторские ведомости. 2014. № 3. С. 83-91.

4. Каратунова Н.Г. Анализ применения информационных технологий в аудиторской деятельности // Экономика. Право. Печать. Вестник КСЭИ. 2014. № 3-4. С. 313-319.

5. Золоторева Г.И. Финансовый аудит и проблемы проверки информационной безопасности // Учет, анализ и аудит: проблемы теории и практики. 2014. № 12. С. 57-59.

6. Агаджанов Г.Ю. Правило (стандарт) аудиторской деятельности «Аудит в условиях компьютерной обработки данных», комментарии и вопросы применения // Вестник Ростовского государственного экономического университета (РИНХ). 2006. № 21. С. 86-93.

7. Азарская М.А. Система внутреннего контроля в управлении организаций // Инновационное развитие экономики. 2014. № 2(19). С. 111-118.

8. Сунгатуллина Р.Н., Гоголева О.Л. Идентификация рисков существенного искажения информации о фактах хозяйственной жизни при оценке системы внутреннего контроля // Аудитор. 2014. № 12. С.38-49.

9. Бурцев В.В. Система внутреннего финансового контроля коммерческой организации // Аудит и финансовый анализ. 2004. № 1. URL: http://urlid.ru/auhj.

10. Филобокова Л.Ю. Методика и техника аудиторских экспертиз системы внутреннего контроля организации // Аудиторские ведомости. 2015. № 6. С. 3-11.

11. Арабян Э.К. Система внутреннего контроля экономического субъекта // Экономика и эффективность организации производства. 2010. № 12. С. 77-78.

12. Серебрякова Т.Ю. Система внутреннего контроля в интерпретации стандартов аудита // Аудиторские ведомости. 2010. № 1. С. 12-17.

13. Волошина Е.И. Система внутреннего контроля в условиях компьютеризации // Научные труды Южного филиала национального университета биоресурсов и природопользования Украины «Крымский агротехнологический университет». Серия: Экономические науки. 2011. № 136. С. 113-119

14. Меринов А.Ю. Оценка эффективности системы внутреннего контроля / Актуальные вопросы современной науки: сб. науч. тр. Новосибирск: СИБПРИНТ, 2008. Вып. 4-2. С. 211-221.

15. Максимова Г.В. Внутренний аудит и управление в рыночных условиях хозяйствования. Иркутск: Изд-во ИГЭА, 1998. 144 с.

16. Попова О.Г. Аудит информационных систем // МСФО и МСА в кредитных организациях. 2010. № 1. С.12-21.

17. Шлифер Е.В. Документальное отражение аудиторских процедур при тестировании системы автоматизированного бухгалтерского учета // Вестник Оренбургского государственного университета. 2009. № 1. С. 60-66.

18. Таймазова Э.А. Автоматизация бухгалтерского учета как инструмент совершенствования организации бухгалтерского учета на предприятии // Ученые записки Крымского инженерно-педагогического университета. 2015. № 1. С. 73-77.

19. Якимова В.А. Трансформация предпосылок составления бухгалтерской отчетности для целей аудита в условиях внедрения и адаптации МСФО в России // Финансы и бизнес. 2013. № 2. С. 148-158.