Федеральное государственное образовательное бюджетное учреждение

высшего образования
«ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ
РОССИЙСКОЙ ФЕДЕРАЦИИ»

Департамент учета, анализа и аудита

Домашнее творческое задание по дисциплине «Аудит бизнеса»

на тему «Оценка информационных систем при аудите отчетности»

Выполнил:
студент группы
АиФК 19-1м
Идрисов Н.Р.

Проверила:
к.э.н., доцент,
Глазкова Г.В.

Москва 2019
 В 60-х годах прошлого века, начало внедрения информационных систем
для бухгалтерского учета в коммерческом секторе, привело к появлению новой
профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая
профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing
Auditors Association», целью которой стала выработка стандартов и лучших
практик проведения ИТ-аудита.
С тех пор, важность профессии ИТ-аудитора значительно возросла.
Сегодня аудит ИТ-контролей является обязательной частью каждого
независимого финансового аудита, услуги ИТ-аудита востребованы на рынке, а
крупные корпорации имеют собственные подразделения ИТ-аудита,
осуществляющие периодический контроль ИТ-процессов и помогающие их
совершенствовать. При этом, следование сложившимся стандартам и лучшим
практикам является необходимым условием для проведения аудита наиболее
оптимальным образом и высоким качеством.
Понимание того, как функционируют информационные системы и какую
роль они играют в бизнес-процессах является очень важным для проведения
аудита отчетности компании. Информационные системы лежат в основе всех
деловых и финансовых операций, поэтому так необходимо уделить особое
внимание их оценке в целях проведения эффективных и действенных
аудиторских процедур.

Применение на предприятии автоматизированных систем обработки

учетно-экономической информации определенным образом накладывает
отпечаток на проведение внешнего аудита. В первую очередь это проявляется
на этапах планирования, определении допустимого уровня аудиторского риска
и выборе аудиторских процедур. Поэтому так необходимо иметь
методологическую базу для объективной оценки информационных систем и
выявления рисков.
 Основные стандарты и руководства по оценке информационных систем
при проведении аудита разработаны международными организациями ISACA,
Институтом Внутренних Аудиторов (IIA), ISO/IEC, IAASB (the International
Auditing and Assurance Standards Board), PCAOB, и др. Среди них следующие:

1. «IT Audit Framework 2nd Edition» (ITAF) — международный стандарт

проведения ИТ-аудита от организации ISACA
ITAF разрабатывался как стандарт, который может применяться, как для
проведения отдельных аудитов информационных систем, так и для выполнения
аудита информационных систем в рамках финансовых и операционных аудитов.
ITAF является наиболее полным источником для специалистов в области
ИТ-аудита, описывающим все этапы проведения проверки ИТ-систем и ИТ-
процессов

2. «Cobit 5 for Assurance» — руководство по проведению аудита в

соответствии с COBIT v.5
Руководство предназначено для использования специалистами в области
ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок
информационных систем

3. «International Professional Practices Framework (IPPF) for Internal

Auditing Standards»
Целью стандарта является определение:
• базовых принципов проведения внутреннего аудита;
• стандартного набора практик проведения внутреннего аудита;
• базовых показателей оценки эффективности процедур внутреннего
аудита.
 Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита,
он определяет универсальные принципы и подходы, которые могут быть
использованы, как при проведении внутреннего финансового и операционного
аудита, так и при проведении внутреннего аудита информационных технологий.
Для методологической поддержки стандарта в части проведения ИТ-
аудита, ассоциацией IIA были разработаны детальные руководства по оценке
ИТ-рисков (Guide to the Assessment of IT Risk) и аудиту информационных
технологий (Global Technology Audit Guide).

4. Международные стандарты «ISAE No. 3402» и «SSAE No. 16»

Целью стандарта «ISAE No. 3402» является предоставление
унифицированного подхода к оценке эффективности системы внутреннего
контроля сервисных организаций, в части подготовки достоверной финансовой
отчетности. Согласно стандарту, проверка эффективности ИТ-контролей
является необходимой при проведении оценки.
Аудиторские проверки на соответствие данному стандарту достаточно
распространены в США и Европе, тем не менее в России все еще не получили
широкого распространения.

5. PCAOB Auditing Standard No. 5 “An Audit of Internal Control Over

Financial Reporting That Is Integrated with An Audit of Financial Statements”
Стандартом аудита PCAOB No. 5 “An Audit of Internal Control Over
Financial Reporting That Is Integrated with An Audit of Financial
Statements”определяются требования по включению проверок ИТ-процессов и
ИТ-систем в объем обязательных аудиторских процедур при проведении
внешнего финансового аудита.
Согласно стандарту, при проведении аудита контролей, связанных с
подготовкой финансовой отчетности, аудитор должен получить понимание
того, как используемые информационные системы и технологии оказывают
влияние на процесс формирования финансовой отчетности. Аудитор также
должен понимать какие контроли выполняются вручную, а какие реализованы
на уровне информационных систем — автоматизированные контроли, в том
числе как выполняются общие ИТ-контроли, которые важны для эффективной
работы автоматизированных контролей. Эта информация должна быть учтена
при оценке рисков искажения финансовой информации, обрабатываемой в
информационных системах.

6. «ISO/IEC 27007: Guidelines for information security management systems

auditing» и «ISO/IEC TR 27008: Guidelines for auditors on information security
management systems controls»
Целевой аудиторией стандартов являются специалисты в области
информационной безопасности и ИТ-аудита, планирующие проведение
compliance-аудита на соответствие требованиям стандартов ISO27001 и
ISO27002.

В процессе выполнения задания аудитору следует определить уровень

автоматизации и степень сложности применяемого компьютерного
программного обеспечения для ведения бухгалтерского учета. В рамках этого
вопроса необходимо оценить степень охвата бухгалтерского учета
автоматизированной обработкой данных [1]. При проведении аудита важно
провести сверку данных, содержащихся в регистрах учета, формируемых путем
компьютерной обработки данных, с данными первичного учета. Наличие
системы компьютерной обработки данных не освобождает экономический
субъект от обязанности ведения документооборота в бумажном виде.
Также аудитору необходимо убедиться в отсутствии
несанкционированных изменений в программном обеспечении в связи с
изменением хозяйственного или налогового законодательства, изменения форм
отчетности. Организация данных бухгалтерского учета у клиента в среде
компьютерной обработке данных (КОД) влияет на профессиональный риск
аудитора.
Использование клиентом компьютерных систем обработки данных
приводит к образованию следующих аудиторских рисков, связанные с:
- обработкой данных в компьютерной и информационной системах
аудируемого лица;
- аппаратным и программным обеспечением проверяемого
экономического субъекта;
- квалификацией персонала;
- отсутствием мер по обеспечению сохранности программ и данных
компьютерного учета;
- отсутствием контроля ввода исходных данных;
- защитой и сохранностью финансовой информации.
В целях снижения риска аудита информационных систем необходимо
использование лицензионных компьютерных программ, чтобы обеспечить
работу всех филиалов и других структур в единой компьютерной сети, что
позволит обеспечить контроль за работой компьютерных систем.

Влияние ИТ на финансовую отчетность предприятия и, в частности, на

его внутренний контроль, больше связано с характером и сложностью ИТ-среды
предприятия, чем с размером предприятия. Поэтому понимание того, что такое
ИТ-среда объекта, важно для определения того, является ли подход к аудиту
предприятия подходящим.
Чем сложнее ИТ-среда предприятия, тем более сложным может быть
предприятие и, следовательно, тем менее вероятно, что классический подход к
аудиту компаний с простой бизнес-моделью будет подходящим для
предприятия со сложной IT-средой.

Показатели сложности ИТ-среды

1) Бизнес-модель организации опирается на ИТ
Чем выше уровень автоматизации (с минимальным ручным
вмешательством или вообще без него) в транзакционных и финансовых
процессах предприятия, тем выше необходимость в проведении таких
контрольных процедур, которые дадут понимание о том, стоит полагаться на
ИТ-систему или нет.
Также, если у компании собственная ИТ-система, разработанная по
заказу, то проведение тестирования системы неизбежно.

2) Характер программного обеспечения и изменения в текущем периоде

Рассмотрим случай когда компания использует приобретенное
немодифицированное бухгалтерское программное обеспечение. Коммерчески
доступное программное обеспечение от известных сторонних компаний,
вероятно, было хорошо протестировано, и поставщик программного
обеспечения обычно оказывает постоянную техническую поддержку. Однако у
организации могут быть возможности внести изменения в программное
обеспечение, измененные параметр которой могут негативно повлиять на
работу программного обеспечения.
Кроме того, неизвестные ошибки программирования в приобретенном
программном обеспечении могут повлиять на работу программного
обеспечения. Следовательно, использование приобретенного
немодифицированного программного обеспечения для бухгалтерского учета
может снизить риск возникновения ошибок в процессах бухгалтерского учета,
но не может полностью устранить этот риск.
 3) Как организация управляет ИТ-инфраструктурой
Первый случай, когда система управляется надежными и независимыми
сторонними специалистами (аутсорсинг). В таких случаях руководство
компании с меньшей вероятностью сможет внести изменения, которые не
являются разрешенными, проверенными или задокументированными
надлежащим образом. Поэтому риск ошибок (преднамеренных или
непреднамеренных) уменьшается.
Второй вариант, это когда ИТ-система управляется собственными
специалистами. В данном случае возрастает риск неуместных и непроверенных
изменений в ИТ-системе, которые могут привести к риску возникновения
ошибок в процессах бухгалтерского учета.
Помимо указанных критериев оценки информационных систем
существует множество других рисков, которые могут повлиять на исходные
данные в таких системах (табл. 1).
Риски, связанные с концентрацией Риски, связанные с концентрацией
функций управления данных
и программ для их обработки
• Потеря разделения обязанностей, • Риск потери и/или искажения
необходимого для эффективной данных вследствие утраты или
работы ИС. порчи компьютеров, ПО.
• Риск проведения бухгалтерских • Риск потери первичных
записей без авторизации (визирования) документов.
расходов. • Риски, связанные с
• Риск несанкционированного доступа. осуществлением автоматических
• Риск несанкционированных бухгалтерских записей.
бухгалтерских записей. • Риски, связанные с формированием
финансовой отчетности ИС в
автоматическом режиме.
 Таблица. Риски, связанные с исходными данными

По итогам тестирования ИТ-системы компании, аудитор выбирает один

из следующих подходов для проверки бухгалтерских операций
 Выбор всех операций из совокупности (100%-ое обследование)
 Выбор ключевых предметов в популяции (наиболее крупные статьи)
 Аудиторская выборка (случайная выборка операций)

Подводя итог, необходимо сказать, что аудит информационных систем

является одним из факторов, обеспечивающих высокое качества аудита
финансовой отчетности компании. Нельзя недооценивать важность аудита
информационных систем в среде компьютерной обработки данных, т.к. в ходе
проверки аудитор получает понимание различных рисков и степени их влияния
на бухгалтерскую отчётность, представленную для проверки, как в
количественном, так и в качественном аспектах, что в конечном итоге
способствует повышению надёжности представления отчётной информации
аудируемого лица.
Список источников
1. Городилов М. А. Совершенствование организационных аспектов аудита и
ревизии / М. А. Городилов // Аудит и финансовый анализ. — 2008. — № 5.
[Электронный ресурс]. — Режим доступа:
https://www.auditfin.com/fin/2008/5/Gorodilov/Gorodilov%20.pdf
2. Баранова Ольга Владимировнаu Аудит информационных систем // Финансы:
Теория и Практика. 2009. №1. URL: https://cyberleninka.ru/article/n/audit-
informatsionnyh-sistem.