Автор: Александр Ильин, ассоциированный партнер группы компаний «Мариллион»
Несмотря на то, что аудитор проверяет финансовую отчетность, его работа предполагает также понимание ИТ-систем компании. В первую очередь это необходимо потому, что из-за некорректной настройки ИТ-систем могут возникать некоторые искажения. Кроме того, в современном мире ИТ-системы являются важным элементом внутреннего контроля компании, который необходимо понимать аудитору, чтобы правильно спланировать свой аудит.
В своей профессиональной деятельности аудитор сталкивается с рядом факторов, существенно влияющих на проводимый аудит:
-
многообразие ИТ-систем (1С, SAP, Navision, и т.д.);
-
многообразие их использования: только финансовый учет, дополнительный функционал в виде учета движения запасов, в виде разделения полномочий, регулирование закупок (через заявку на покупку) и продаж (через получение заказов от покупателей);
-
в определенных индустриях ИТ-системы играют существенную роль: банки, телекоммуникационные компании, торговые площадки (маркетплейсы).
Таким образом, аудитору необходимо определить, какая архитектура ИТ-систем у компании, выделить ключевые процессы, определить, насколько они зависимы от ИТ, и какая вероятность возникновения риска существенного искажения отчетности из-за использования ИТ.
В частности, при проведении аудита следует сделать акцент на следующих вопросах:
-
определить влияние использования ИТ на непрерывность бизнеса: сможет ли бизнес продолжить функционировать в случае сбоя в ИТ-системах, или кибератаки. Если зависимость бизнеса от ИТ очень высокая, то аудитору необходимо рассмотреть включение ИТ-специалиста в команду аудиторов, провести процедуры, направленные на проверку работы ИТ-системы, а также на проверку плана руководства по обеспечению непрерывности бизнеса;
-
установить степень риска превышения полномочий руководством – насколько ИТ-система защищена от несанкционированных бухгалтерских проводок. Несанкционированные бухгалтерские проводки могут маскировать хищение активов из компании и/или привести к искажению финансовой отчетности компании. Риск осуществления несанкционированных бухгалтерских проводок будет выше там, где используется нестандартная ИТ-система, или ИТ-система, которая сделана кустарным способом. И, наоборот, риск будет ниже, если использована ИТ-система, защищенная от изменений стандартного функционала, который предполагает разделение полномочий при осуществлении бухгалтерских проводок.
-
установить или исключить риск некорректной работы программного обеспечения. Программное обеспечение должно следовать установленному алгоритму работы или сообщать об ошибках, если они случаются. Например, программа по инвентаризации может некорректно передавать данные по фактическому подсчету и не сообщать при этом, что данные ошибочные. Другой пример — программа по учету баллов по программе лояльности некорректно начисляет и/или списывает баллы и при этом также не сообщает об этом пользователям;
-
в случае, если в аудиторских процедурах используются отчеты из ИТ-системы, то такие отчеты необходимо проверять на полноту и точность. Например, при анализе дебиторской задолженности по срокам возникновения необходимо проверить, что в отчет включены все дебиторы на дату отчета, а также, что сроки возникновения по дебиторам считаются корректно.
Учет всех этих факторов в работе позволит аудитору провести качественную проверку компании.