Положение по аудиторской практике 1002

реклама
Положение по аудиторской практике 1002
"Аудит в среде информационных компьютерных систем - компьютерные системы,
работающие в режиме реального времени"
Введение
1. Настоящее положение по аудиторской практике разработано на основе
Международного положения по аудиторской практике 1002 "Аудит в среде информационных
компьютерных систем - компьютерные системы, работающие в режиме реального времени"
(IASP 1002 - "CIS - Environments - On-Line Computer Systems") принятого Международной
федерацией бухгалтеров (IFAC) в редакции 2001 года.
Цель
2. Цель настоящего положения состоит в оказании помощи аудиторам по применению
Национальных стандартов аудита в среде, где используются компьютерные системы,
работающие в режиме реального времени, для получения информации, необходимой для
составления финансовой отчетности хозяйствующего субъекта. Аудитор должен определить
степень соответствия аудиторских процедур, описанных в настоящем положении, требованиям
НСА с учетом специфики хозяйствующего субъекта. Аудитор рассматривает характеристики
среды информационных технологий, так как данная среда, в свою очередь, влияет на
организацию системы бухгалтерского учета и на соответствующие формы внутреннего
контроля. Среда информационных технологий также может влиять на общий план аудита,
включая выбор форм внутреннего контроля, на которые аудитор может полагаться, а также на
характер, время проведения и объем аудиторских процедур. Настоящее положение описывает
влияние компьютерных систем, работающих в режиме реального времени, на систему
бухгалтерского учета и на связанные с ней формы внутреннего контроля, а также на
аудиторские процедуры.
Компьютерные системы, работающие в режиме
реального времени
3. Компьютерные системы, работающие в режиме реального времени - это компьютерные
системы, которые позволяют пользователям иметь доступ к данным и программам напрямую
через терминал 1 . Такие системы могут состоять из универсальных вычислительных машин,
миникомпьютеров или персональных компьютеров, соединенных в сеть. Когда хозяйствующий
субъект использует компьютерную систему, работающую в режиме реального времени,
используемые технологии могут быть достаточно сложными и могут иметь связь со
стратегическими бизнес-планами хозяйствующего субъекта. Аудитору могут понадобиться
специальные навыки в области информационных технологий для составления запросов и
анализа ответов, полученных на такие запросы. Аудитор может рассмотреть необходимость
использования работы эксперта (см. НСА 620 "Использование работы эксперта").
4. Компьютерные системы, работающие в режиме реального времени, позволяют
пользователям напрямую инициировать различные действия, такие как:
• ввод операций (например, операций по розничным продажам, снятию денежных средств
с банковского счета и транспортировке товаров на завод);
• запрос информаций (например, относительно статуса счета клиента или остатка на
счету);
• запрос отчетов (например, списка товарно-материальных запасов, по которым
количество единиц на складе равно нулю);
• обновление базы данных (например, создание новых счетов для клиентов и изменение
кодировки счетов в главной книге); и
• электронная торговля (например, регистрация заказов и оплата за товары по Интернету).
5. Компьютерные системы, работающие в режиме реального времени, используют разные
виды терминальных устройств. Функции, которые они выполняют, могут значительно
отличаться и зависят от их логических способностей, потенциала передачи данных, хранения
1
Оборудование, которое позволяет ввод данных и чтение результатов на компьютере
информации и от мощности по общей обработки информации. Выделяются следующие виды
терминалов:
(a) Терминалы общего назначения, такие как:
• Простая система, состоящая из клавиатуры и экрана - используется для ввода данных
без их подтверждения в рамках терминала, а также и для вывода на экран данных
компьютерной системы. Например, при вводе заявки на закупку товаров, поступившей от
клиента, основной компьютер подтверждает код товара, и результат подтверждения выводится
на экран терминала.
• Терминал с развитой логикой - выполняет функции простой системы с дополнительными
функциями, такими как подтверждение информации в рамках терминала, хранение журналов
операции, а также другими функциями обработки информации в рамках терминала. В
вышеуказанном примере по вводу заявки на закупку, терминал с развитой логикой проверяет
верность количества символов в коде продукта, а основной компьютер проверяет наличие кода
товара в главном файле.
• Персональные компьютеры - выполняют все функции терминала с развитой логикой с
дополнительными способностями обработки и хранения информаций. В продолжении
вышеуказанного примера: персональный компьютер может полностью выполнить проверку
кода товара.
(b) Терминалы специального назначения, такие как:
• Кассовый терминал - используется для регистрации операций по продаже по мере их
осуществления и пересылки данных на основной компьютер. Кассовые аппараты, оптические
сканирующие устройства, используемые в розничной торговле, являются типичными
кассовыми терминалами.
• Банкомат - используется для инициирования, подтверждения, отражения, пересылки и
завершения различных банковских операций. В зависимости от проектирования системы,
некоторые из этих функций выполняются банкоматом, а другие - основным компьютером в
режиме реального времени.
• Портативный беспроводный прибор для ввода данных на расстоянии.
• Системы регистрации устных команд - используются для обеспечения взаимодействия
пользователя с компьютером посредством телекоммуникационной сети на основе устных
инструкций, генерируемых компьютером. Клиент передает информацию, используя прибор,
генерирующий звук, которым обычно является клавиатура на телефоне покупателя. Примерами
наиболее распространенных областей применения таких терминалов являются банковские
услуги по телефону и система оплаты счетов по телефону.
6. Терминалы могут располагаться как локально, так и на расстоянии. Терминалы,
расположенные локально, соединяются напрямую с компьютером с помощью кабелей, а
терминалы, расположенные на расстоянии, требуют наличия телекоммуникаций для связи с
компьютером. Однако в некоторых случаях и локальные терминалы могут быть соединены с
использованием телекоммуникаций или беспроводных устройств соединения. Доступ к
устройствам терминалов могут иметь одновременно множество пользователей, находящихся в
различных местах и использующих терминалы в различных целях. Пользователи, такие как
покупатели и поставщики, могут находиться как на предприятии, так и за его пределами. В
таких случаях программное обеспечение и информация хранятся в режиме реального времени
для удовлетворения потребностей пользователей. Подобные системы требуют наличия
дополнительного программного обеспечения, например, программного обеспечения по
контролю за доступом и программного обеспечения по мониторингу терминалов, работающих
в режиме реального времени.
7. Рост обмена системных ресурсов путем использования локальных и глобальных сетей
привел к росту распространения "разделенной" обработки информаций в режиме реального
времени. Системы "клиент-сервер" привели к разделению прикладных программ таким образом,
что обработка может выполняться на нескольких компьютерах одновременно. При применении
системы "клиент-сервер" информация обрабатывается как на сервере, так и на компьютере
клиента.
8. Работники, партнеры по бизнесу, клиенты и третьи стороны могут получить доступ к
соответствующим прикладным программам хозяйствующего субъекта, работающему в режиме
реального времени, с помощью сети Интернет, а также с использованием других услуг,
обеспечивающих доступ на расстоянии. Внешние стороны могут иметь доступ к прикладным
программ хозяйствующего субъекта с помощью электронного обмена данными или других
приложений электронной торговли.
9. В дополнении к пользователям данных систем, программисты могут использовать
возможности работы в режиме реального времени для разработки новых программ, а также
содержания и обслуживания существующих программ. Персонал поставщика программ может
также иметь доступ к программам в режиме реального времени для оказания услуг по
содержанию и обслуживанию.
Виды компьютерных систем, работающих в режиме
реального времени
10. Компьютерные системы, работающие в режиме реального времени, могут быть
классифицированы в зависимости от порядка ввода информации в систему, порядка ее
обработки и времени, когда результаты представляются пользователю. Для целей настоящего
положения функции компьютерных систем, работающих в режиме реального времени,
классифицируются следующим образом:
(a) обработка в режиме реального времени;
(b) пакетная обработка данных в режиме реального времени;
(с) обновление записей в режиме реального времени (с последующей обработкой);
(d) запрос в режиме реального времени; и
(e) получение/ввод данных в режиме реального времени.
Обработка в режиме реального времени
11. В системе обработки информации в режиме реального времени индивидуальные
операции вводятся с использованием терминалов, проверяются и используются для
мгновенного обновления соответствующих компьютерных файлов. Примером является
зачисление денежных поступлений на банковский счет клиента. Результаты такой обработки
сразу становятся доступными для ответов на запросы или для составления отчетов.
Пакетная обработка данных в режиме реального времени
12. В системе, предусматривающей ввод данных в режиме реального времени и их
пакетную обработку, индивидуальные операции вводятся с использованием терминалов,
проверяются и добавляются к файлу операций, который содержит и другие операции,
введенные в течение определенного периода времени. Позднее, во время последующего цикла
обработки, файл операций дополнительно проверяется и затем используется для обновления
соответствующего главного файла. Например, бухгалтерские проводки могут быть внесены в
журнал, проверены в режиме реального времени и храниться в файле операций, а обновление
главной книги может производиться ежемесячно. Ответы на запросы, а также отчеты,
генерируемые главными файлами, не будут содержать операции, введенные после обновления
главного файла.
Обновление записей в режиме реального времени
(с последующей обработкой)
13. Ввод и обновление записей в режиме реального времени, также известное как теневое
обновление, объединяет обработку и пакетную обработку данных в режиме реального времени.
Каждая операция немедленно обновляет эталонный файл, содержащий информацию,
полученную из самой последней версии главного файла. Проверка и обновление проводятся
над пакетом однотипных операций. Такие однотипные операции накапливаются группами в
файле операций с целью их последующей проверки и обновления главного файла. Например,
снятие денежных средств со счета посредством банкоматов сверяется с информацией об
остатке денежных средств на счете клиента, содержащейся в эталонном файле, и затем
немедленно отражается как уменьшение остатка на счету клиента в этом же файле. С точки
зрения пользователя, данная система ничем не отличается от системы обработки данных в
режиме реального времени, так как результат введенных данных доступен немедленно. Однако
на момент совершения операции не подвергаются полной проверке с целью обновления
главного файла (которая осуществляется позже).
Запрос в режиме реального времени
14. Запрос в режиме реального времени характеризуется ограничениями, накладываемыми
на пользователей терминалов исключительно осуществлением запросов из главных файлов (без
возможности осуществления других операций с главными файлами). В таких системах главные
файлы обновляются с помощью других систем обычно на основе пакетной обработки.
Например, пользователь может запросить из главного файла информацию о
кредитоспособности отдельного клиента перед принятием заказа от данного клиента, однако не
может вносить изменения в главный файл.
Получение / ввод данных в режиме реального времени
15. Получение данных в режиме реального времени означает передачу информации из
главного файла на терминал с развитой логикой для дальнейшей обработки пользователем.
Примером является передача данных об операциях филиала из головного офиса
хозяйствующего субъекта на терминал филиала для дальнейшей обработки и подготовки
финансовой отчетности филиала. Результаты такой обработки и другая информация,
обрабатываемая локально (в рамках филиала), может быть впоследствии введена в компьютер
головного офиса.
Характеристики компьютерных систем, работающих
в режиме реального времени
16. Характеристики компьютерных систем, работающих в режиме реального времени,
могут быть свойственны различным видам систем, работающих в режиме реального времени,
упомянутых выше. Наиболее важными характеристиками являются:
• ввод и проверка данных в режиме реального времени;
• доступ пользователей к системе в режиме реального времени;
• возможное отсутствие очевидного доказательства осуществления операции; и
• возможный доступ к системе лиц, не являющихся пользователями, включая
программистов и третьих лиц (например, с помощью электронной почты и Интернета).
Специфические характеристики систем, работающих в режиме реального времени,
зависят от проектирования каждой системы.
17. При вводе данных в режиме реального времени они, как правило, подвергаются
немедленной проверке. Данные, не прошедшие проверку, не принимаются системой, и на
экране терминала появляется специальное сообщение, предоставляя пользователю возможность
исправить данные и немедленно ввести исправленные данные. Например, если пользователь
вводит неправильный инвентарный номер, на экране появляется сообщение об ошибке, дающее
возможность пользователю ввести правильный номер.
18. Пользователи могут иметь доступ к системе в режиме реального времени, что
позволяет им выполнять различные функции (например, вводить информацию об операциях, а
также читать, исправлять или удалять программы и файлы данных непосредственно с
терминала). Неограниченный доступ ко всем этим функциям в рамках одной прикладной
программы нежелателен, потому что предоставляет пользователю возможность внесения
несанкционированных изменений программ и данных. Неограниченный доступ устраняет
распределение обязанностей и разрешает доступ пользователям ко всем этапам обработки и
отражения операции. Степень доступа зависит от проектирования конкретной прикладной
программы, а также от внедрения программного обеспечения, осуществляющего контроль над
доступом к системе.
19. Компьютерная система, работающая в режиме реального времени, может быть
разработана таким образом, чтобы не предоставлять подтверждающие документы по всем
операциям, введенным в систему. Такая система должна иметь способность предоставлять
детальную информацию об операциях в ответ на запрос или на основании журнала операций,
генерируемого системой или другими методами. Примерами таких систем служат заказы,
принимаемые телефонным оператором, который вводит их в систему в режиме реального
времени без оформления письменного заказа, а также снятие наличных денежных средств из
банкоматов.
20. Программисты могут иметь доступ к системе в режиме реального времени с целью
разработки новых программ и модификации существующих программ. Неограниченный доступ
дает программистам возможность делать несанкционированные изменения в программах, а
также получать несанкционированный доступ к другим разделам системы, что является
серьезным недостатком системы внутреннего контроля. Степень доступа зависит от требований
системы. Например, в некоторых системах программисты имеют доступ только к программам,
находящимся в отдельной библиотеке разработки и администрирования программных
продуктов. При этом, программисты могут быть уполномочены изменять операционные
программы в чрезвычайных ситуациях, в которых требуется производить изменения программ
в режиме реального времени. В таких случаях после разрешения чрезвычайной ситуации
должны быть соблюдены формальные процедуры контроля, гарантирующие соответствующее
санкционирование и соответствующее документирование сделанных изменений.
Внутренний контроль в компьютерной системе,
работающей в режиме реального времени
21. Прикладные программы, работающие в режиме реального времени, подвержены риску
несанкционированного доступа и обновления. Инфраструктура безопасности хозяйствующего
субъекта играет важную роль в обеспечении целостности и надежности генерируемой
информации. Поэтому аудитору следует рассмотреть инфраструктуру безопасности перед тем
как приступить к тестированию общих контролей и контролей за программным обеспечением.
У хозяйствующего субъекта может возникнуть необходимость в установлении
соответствующей общей формы контроля для снижения рисков, связанных с компьютерными
вирусами, несанкционированным доступом и возможного уничтожения отслеживания операций.
Таким образом, контроль доступа особенно важен для систем, работающих в режиме реального
времени.
22. Такие формы контроля могут включать использование паролей и
специализированного программного обеспечения для контроля за доступом, такого как
мониторы, работающие в режиме реального времени, которые поддерживают контроль над
меню, таблицами авторизации, паролями, файлами и программами, к которым разрешен доступ
пользователей. Они также могут включать физические формы контроля, такие как
использование замков на устройствах терминала, закрывающиеся помещения, в которых
находятся компьютеры, и блокировка компьютеров по истечении установленного времени.
Другие важные аспекты контроля в компьютерной системе, работающей в режиме
реального времени, включают:
• контроли над паролями: процедура по присвоению и поддержке паролей для разрешения
доступа только авторизированным пользователям;
• система разработки и поддержки контролей: система дополнительных процедур,
гарантирующих, что основные контроли программного обеспечения, работающего в режиме
реального времени, такие как пароли, контроли доступа, проверка данных в режиме реального
времени и процедуры восстановления, включены в систему во время ее разработки и
поддержки; контроли также гарантируют то, что изменения к системам работают так, как было
запланировано и правильно выполнены;
• контроли программирования;
• регистрация операций; и
• брандмауэры (запрограммированные средства межсетевой защиты).
23. Некоторые контроли программного обеспечения особо важны для обработки
информации в режиме реального времени. Такими формами контроля являются:
• Авторизация первичной обработки. Авторизация начала операции, например,
использование банковской карточки вместе с использованием идентификационного номера
перед снятием денежных средств из банкоматов.
• Редактирование, обоснованность и другие тесты контроля терминалов.
Запрограммированная операция, которая проверяет введенные данные и результаты обработки
на полноту, точность и обоснованность. Данная программа включает проверку
последовательности, ограничения, классификации и обоснованности, и может быть
установлена на терминале с развитой логикой или на центральном компьютере.
• Выявление и устранение ошибок ввода. Данные процедуры контроля гарантируют то,
что все ошибки ввода вовремя выявлены, идентифицированы, устранены и посланы еще раз для
обработки. Данные процедуры включают как ручной контроль, так и автоматизированные
программы.
• Процедуры контроля своевременности. Данные процедуры контроля гарантируют то,
что операции обрабатываются в учетном периоде, к которому они относятся. Они особенно
необходимы в системах с непрекращающимся потоком операций. Например, в системе,
работающей в режиме реального времени, с терминалами, расположенными в разных местах,
используемыми для отражения заказов на продажу и отгрузку, необходимо координировать
фактическую отгрузку товара, выпуск товара и обработку счетов-фактур.
• Контроль файлов. Данные процедуры контроля гарантируют то, что для обработки в
режиме реального времени используются файлы с правильными данными.
• Контроль над главным файлом. Изменения главного файла контролируются
процедурами, схожими с процедурами, используемыми для контроля над введенными
операциями. Так как данные главного файла могут существенно влиять на результаты
обработки, необходимо более строгое применение данных контролей.
• Балансирование. Процесс установления контроля за итоговыми данными,
предоставленными для обработки через устройства терминала, работающие в режиме реального
времени, и сравнения итогов во время и после обработки для обеспечения передачи правильных
данных в полном объеме на каждом этапе обработки. Данные контроли балансирования важны
для контроля над полнотой и точностью в среде обработки информации в режиме реального
времени. Где это возможно они должны быть включены в автоматизированные программы.
• Формы контроля могут быть установлены с помощью независимой функции, которая в
основном:
(a) получает всю информацию для обработки;
(b) обеспечивает авторизацию и отражение всей информации;
(c) изучает ошибки, обнаруженные во время обработки;
(d) контролирует соответствующее распределение результатов обработки; и
(e) ограничивает физический доступ к программному обеспечению и информации.
Отдельные контроли необходимы для контроля над главным файлом и информацией.
Влияние компьютерных систем, работающих в режиме
реального времени, на систему бухгалтерского учета
и соответствующие формы внутреннего контроля
24. Влияние компьютерных систем, работающих в режиме реального времени, на систему
бухгалтерского учета и соответствующие риски зависит от:
(а) степени использования системы, работающей в режиме реального времени, для
взаимодействия с бухгалтерским программным обеспечением;
(b) типа и значимости обрабатываемых финансовых операций; и
(c) характеристики файлов и программ, используемых программным обеспечением.
Инфраструктура безопасности хозяйствующего субъекта играет важную роль в контроле
над рисками, связанными с использованием систем, работающих в режиме реального времени.
25. Нижеперечисленные факторы могут уменьшить риск ошибок, возникающих в
результате использования хозяйствующим субъектом систем, работающих в режиме реального
времени:
• Отражение информации в момент совершения операции уменьшает риск неотражения
операции.
• Немедленное исправление и повторный ввод введенных неправильных операций
уменьшает риск того, что данные операции не будут исправлены и немедленно представлены
для обработки.
• Ввод данных работниками, понимающими сущность операции, менее подвергнут риску
ошибок, нежели ввод, осуществленный работниками, не знакомыми с сущностью операции.
• Обработка операций сразу же после ввода снижает риск того, что они не будут
обработаны в соответствующем учетном периоде.
• Идентификация и авторизация операций в момент совершения уменьшает риск
присвоения прав, несанкционированного доступа или манипулирования информацией.
26. Риск возникновения ошибок в системах, работающих в режиме реального времени,
может увеличиться в результате следующих факторов:
• Расположение терминалов по всему предприятию увеличивает возможность их
неавторизированного использования и ввода неавторизированных операций.
• Терминалы, работающие в режиме реального времени, могут обеспечить возможность
несанкционированного использования посредством:
- изменения ранее введенных операций и остатков по счетам;
- изменения компьютерных программ; или
- доступа к информации и программам на расстоянии.
• Если обработка в режиме реального времени прерывается по какой-либо причине,
например, по причине телекоммуникационных сбоев, существует вероятность потери операций
и файлов, а также того, что восстановленная информация не может быть точной и полной.
• Доступ в режиме реального времени к информации и программам через
телекоммуникации может обеспечить возможность несанкционированного доступа.
Организации, которые используют связь посредством Интернета, должны установить
определенные формы контроля такие, как брандмауэры, с целью управления рисками
несанкционированного доступа к программам и информации.
• Применение систем продажи через Интернет и электронного обмена информацией для
обмена документов между двумя организациями ограничивает возможности традиционного
отслеживания регистрации операции посредством бумажных носителей информации
(документов), включая счета-фактуры и заказы на покупку товаров.
27. Вышеуказанные характеристики компьютерных систем, работающих в режиме
реального времени, влияют на эффективность форм контроля, внедренных в компьютерные
системы, работающие в режиме реального времени. Данные характеристики могут иметь
следующие последствия:
(a) отсутствие напечатанных документов, подтверждающих введенные операции;
(b) представление результатов обработки данных в форме итогов; например, только итоги
из отдельных устройств, используемых для ввода информации, могут быть использованы для
дальнейшей обработки;
(c) проектирование компьютерных систем, работающих в режиме реального времени,
может не предусматривать печать отчетов; например, отчеты могут быть заменены
сообщениями, выведенными на экран терминала;
(d) компьютерные системы, использующие обработку в режиме реального времени,
создают определенные трудности для аудиторов, так как может быть трудно определить период
отражения операции. Также может быть трудно остановить обработку информации в режиме
реального времени для получения копий файлов данных или для составления отчетов в конце
отчетного периода; и
(e) в случае, когда системы, работающие в режиме реального времени, должны быть
восстановлены, трудно гарантировать полноту восстановленной информации, и, что особенно
важно, восстановление всех интерфейсов системы и областей информации на момент начала
процедуры.
Влияние компьютерных систем, работающих в режиме
реального времени, на аудиторские процедуры
28. Как правило, в хорошо разработанной и контролируемой компьютерной системе,
работающей в режиме реального времени, аудитор тестирует общие контроли и контроли
программного обеспечения. Если данные формы контроля оценены как удовлетворительные,
аудитор будет больше полагаться на эффективность внутреннего контроля системы при
определении характера, времени проведения и объема аудиторских процедур. Принимая во
внимание характеристики компьютерных систем, работающих в режиме реального времени,
наиболее эффективным аудиторским подходом обычно является осуществление обзора новой
системы до ее внедрения, нежели после внедрения. Для достижения оптимальной
эффективности данный обзор должен быть расширен до тестирования других элементов
программного обеспечения, из которых информация попадает в систему бухгалтерского учета.
Аудитор также может протестировать если система работает и была внедрена с требованиями, в
соответствии с которыми она была разработана. Обзор системы до ее внедрения может дать
возможность затребовать дополнительную информацию, такую как детальный список операций
или формы контроля, применяемые при разработке системы. Это также предоставляет аудитору
достаточно времени для разработки и тестирования аудиторских процедур до момента
использования системы. Однако, если политика хозяйствующего субъекта предусматривает
постоянное обновление системы, процедуры контроля над изменениями могут быть
критическими для эффективности установленных форм контроля. Таким образом, аудитор
должен протестировать процедуры контроля над изменениями в системе, нежели просто
провести обзор системы до внедрения.
29. Следующие аспекты особенно важны для аудиторов при аудите систем, работающих в
режиме реального времени:
(a) санкционирование, полнота и точность операций в системе, работающей в режиме
реального времени, посредством применения соответствующих форм контроля в момент
принятия операции для обработки;
(b) целостность данных и обработки в среде в которой существует большое количество
пользователей и программистов, имеющих доступ к системе в режиме реального времени; и
(c) необходимые изменения аудиторских процедур, включая применение компьютерных
технологий при проведении аудита, такие как:
• необходимость включения в аудиторскую группу специалистов, обладающих знаниями о
компьютерных системах, работающих в режиме реального времени;
• влияние компьютерной системы, работающей в режиме реального времени, на время
проведения аудиторских процедур;
• отсутствие доказательств совершения операций;
• процедуры, выполненные на стадии планирования аудита (согласно параграфу 30
настоящего положения);
• аудиторские процедуры, выполненные одновременно с обработкой в режиме реального
времени (согласно параграфу 31 настоящего положения); и
• процедуры, применяемые после обработки (согласно параграфу 32 настоящего
положения).
30. Процедуры, применяемые на стадии планирования, могут включать:
• включение в состав аудиторской группы специалистов, обладающих знаниями о
компьютерных системах, работающих в режиме реального времени, и соответствующих
формах контроля;
• идентификация устройств доступа на расстоянии; и
• предварительная оценка во время проведения оценки рисков, влияния системы на
аудиторские процедуры.
31. Аудиторские процедуры, применяемые одновременно с обработкой в режиме
реального времени, могут включать тестирование контролей над программным обеспечением,
работающим в режиме реального времени, например, с помощью ввода тестовых операций с
терминала или с помощью использования аудиторского программного обеспечения. Данные
процедуры тестирования могут быть проведены с целью подтверждения понимания аудиторами
системы или для тестирования контролей, таких как пароли или другие контроли доступа.
Когда хозяйствующий субъект использует доступ через Интернет, аудиторские процедуры
включают тестирование брандмауэров и других процедур авторизации и доступа, а также
тестирование обработки операций. Для того чтобы не повредить учетные записи клиента,
аудитор тестирует процедуры, привлекая соответствующий персонал клиента, и получает
авторизацию на проведение процедур тестирования.
32. Процедуры, применяемые после окончания обработки данных, могут включать
следующее:
• тестирование контролей, применяемых для операций, введенных в систему, с целью
обеспечения авторизации, полноты и точности;
• процедуры по существу в отношении операций и результата обработки данных взамен
тестирования контролей, так как последние требуют больше затрат или метод проектирования
системы или контроли неудовлетворительны; и
• повторная обработка операций в качестве теста контроля или процедуры по существу.
Дата вступления положения в силу
33. Настоящее положение вступает в силу для аудита финансовой отчетности,
охватывающей периоды начиная с 1 января 2006 г.
Скачать