Налагодження комп’ютеризованої процедур аудиту і внутрішнього контролю, поняття про комп’ютерний

НАЛАГОДЖЕННЯ комп'ютеризованої ПРОЦЕДУР аудиту і внутрішнього контролю

Поняття про комп'ютерний контроль та аудит

Застосування комп'ютерів значно впливає на проведення контролю та аудиторських процедур. Однак слід мати на увазі, що контрольні функції автоматизуються важче. Сама по собі комп'ютеризація обліку

не може, усунути приховування крадіжок і зловживань через неправильне перенесення на електронні носії реквізитів, зазначених в документах, введення фальсифікованих документів тощо. Комп'ютер завжди однаково оцінює ситуацію і процес, тому ймовірність помилок контролю в умовах застосування комп'ютерів значно нижче. Отже, комп'ютерна програма забезпечує лише неупередженість і точність контролю.

На відміну від ручних облікових систем, в яких записи роблять на папері і аудитор розглядає можливість знищення, підробки, заміни паперових документів, в умовах використання КИСП аудитору доводиться мати справу з питаннями безпеки і надійності комп'ютерних облікових систем. Таким чином, аудитор перевіряє ряд чисто технічних питань, які не мають прямого відношення до бухгалтерського обліку, але безпосередньо впливають на оцінку аудитором ризику системи контролю. Зокрема, подібні заходи передбачає Національний норматив № 31 "Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю *.

Отже, в умовах застосування КИСП відбувається взаємне проникнення різних за своїм змістом і суб'єктами видів контрольної і організаційної діяльності (рис. 4.25).

Виник навіть спеціальний термін - комп'ютерний аудит. Під комп'ютерним аудитом мають на увазі оцінку поточного стану комп'ютерної системи на відповідність деякому стандарту чи пропонованим вимогам [31]. Цей термін використовується фахівці із загальної безпеки комп'ютерних інформаційних систем.

Налагодження комп'ютеризованої процедур аудиту і внутрішнього контролю, поняття про комп'ютерний

Мал. 4.25. Складові аудиту в умовах застосування КИСП

рівня безпеки автоматизованої системи. Проведення комп'ютерного аудиту корисно також після побудови автоматизованої системи і підсистеми її безпеки на етапі прийому в експлуатацію для оцінки ступеня дотримання висунутих до неї вимог.

Основні параметри, за якими повинна здійснюватися перевірка КИСП щодо захисту і безпеки даних, наведено в табл. 4.9.

Положення про міжнародну аудиторську практику +1008 "Оцінка ризиків і система внутрішнього контролю - характеристика КІС та пов'язані з ними питання", передбачає, зокрема, те, що в КИСП існує вразливість засобів зберігання даних і програм: великі обсяги даних і комп'ютерні програми. які використовують для обробки інформації, можуть зберігатися на портативних або вбудованих носіях інформації, на таких як магнітні диски і плівка. Саме ці носії інформації можуть вкрасти, втратити, навмисно або випадково знищити.

Комп'ютерні системи більш відкриті для доступу до даних, тому в них повинні чітко розмежовуватися повноваження і права доступу до інформації, а також бути введена система захисту від несанкціонованого доступу.

Відповідно до Національного нормативу № 31 "Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю" при оцінці ризику в

Таблиця 4.9. Параметри надійності програмних систем для ведення бухгалтерського обліку

У підрозділі документації до програмної системи "Аварійні ситуації" повинні бути приклади аварійних ситуацій і способи відновлення працездатності системи з мінімальними витратами праці і часу

системах, в яких використовується електронна обробка даних (БОД), аудиторам необхідно звертати увагу на методи управління, при яких передбачається обмеження доступу до бази даних, наприклад, захист бази даних від несанкціонованого втручання.

Аудитор зобов'язаний виявити слабкі місця контролю КИСП - розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи, наприклад перевірку цілісності даних і відсутність комп'ютерних вірусів.

Актуальним питанням, яке постає з відмовою від паперових бухгалтерських документів при застосуванні КИСП, є розробка способів юридичного підтвердження достовірності даних, що реєструються.

Вирішення цього питання можливе при розробці комп'ютерних облікових програм шляхом:

• проектування спеціальних засобів блокування введення даних в разі пропуску будь-яких реквізитів;

• наявність в програмі засобів ідентифікації особистості, яка працює з терміналом;

• спеціальних засобів захисту інформації.

Так, в системі комп'ютеризації документообігу Work Expeditor в процесі руху документа формують журнал, в якому фіксуються час, дії та імена користувачів, які працювали з документом [б, с. 331]. Додаткові спеціальні засоби захисту інформації дозволять вносити зміни або виправлення тільки тій особі, яка їх вперше зареєструвала на електронному носії.

Аудитору також необхідно проаналізувати систему контролю підготовки бухгалтерських даних, перевірити, яких заходів вжито клієнтом для запобігання помилок і фальсифікацій. Слід зазначити способи організації контролю повноти і правильності введення первинної інформації в інформаційну базу, контролю обробки і виведення даних, дати оцінку їх достатності та ефективності. У мережевих системах з багатьма користувачами об'єктом уваги повинен бути контроль передачі даних.

У Законі України "Про захист інформації в автоматизованих системах" сказано, що захист інформації - це, перш за все, комплекс організаційно-технічних заходів, спрямованих на запобігання втрат інформації в результаті як ненавмисних або навмисних дій, так і несанкціонованого її зняття, а також на запобігання шахрайства з метою розкрадання майнових і грошових цінностей суб'єктів господарської діяльності.

На жаль, в Законі немає переліку конкретних заходів, тому розробка лягає як на розробників, так і на користувачів комп'ютерних систем.

Захищеної інформаційної системою можна вважати інформаційну систему, яка відповідає певним вимогам і в якій реалізований комплекс заходів захисту. Універсальний перелік вимог до захищених систем складати недоцільно через різноманітність самих систем і різноманітність можливих загроз. Однак є кілька базових вимог, без задоволення яких систему не можна вважати захищеною.

Отже, безпечною є інформаційна система, яка задовольняє наступним вимогам:

• цілісність інформації (information integrity). Відповідає стану системи, коли інформація є своєчасною, точною, повною і змістовною. Повністю забезпечити її майже неможливо, тому часто її розбивають на цілісність інформації та цілісність системи. Цілісність інформації - це вимога, щоб інформацію змінювали тільки в установленому порядку. Цілісність системи - це вимога, щоб система виконувала функції, яких від нього вимагають, зазначеним способом і без навмисного або ненавмисно несанкціонованого втручання

• доступність системи (system availability) - це вимога, щоб система працювала коректно і не відмовляла в доступі легальному користувачеві;

• конфіденційність системи (system privacy) - це вимога, щоб до приватної чи конфіденційної інформації, що міститься в системі, не мали доступу нелегальні (невповноважені) користувачі.

Ефективний контроль, конфіденційність або захист важливих програм і даних від нсдозволеного доступу і модифікації з боку користувачів може забезпечити криптографія. Найчастіше її використовують тоді, коли важливі дані передаються по комунікаційних лініях. Криптографія - це зворотна (тобто такий, який має зворотний) процес перетворення програм і даних в форму, непридатну для обробки. Шифрування і розшифрування даних вимагає використання спеціальних програм і ключа шифрування, відомого тільки користувачам, яким дозволений доступ до програм та інформації.

Важливість зазначених вимог не однакова для різних інформаційних систем. Якщо для інформаційних систем режимних державних організацій на першому місці стоїть конфіденційність, а цілісність розуміють виключно як незмінність інформації, то для комерційних структур найважливіше цілісність (актуальність) і доступність даних та послуг з їх обробці. У порівнянні з державними комерційні організації більш відкриті і більш динамічні, тому ймовірні загрози для них відрізняються і кількісно, ​​і якісно.

Для забезпечення названих вимог до безпечної інформаційної системи використовують такі засоби захисту.

До ключових засобів підзвітності належать ідентифікація і аутентифікація.

Ідентифікація дозволяє дізнатися користувача системи (і визначити, користувався він системою раніше). Ідентифікація - це кошти, за допомогою яких користувач надає системі інформацію про себе.

Аутентифікація - це процес достовірної перевірки відповідності когось або чогось. Вона підтверджує, ким є користувач, а також його права в системі. Іншими словами, аутентифікація - це підтвердження правильності ідентифікації. Можливі два види віддаленої аутентифікації: коли комп'ютер аутентифікує інший комп'ютер; коли комп'ютер виконує якісь операції для користувача, якщо той передасть пароль.

Порушення в роботі комп'ютерної системи можуть виникати через проблеми з харчуванням і помилки апаратного або програмного забезпечення.

Програмні помилки також становлять небезпеку для роботи системи. Зокрема, програма може бути несумісна з операційною системою. Крім того, програма може бути інфікований вірусами.