вими, матеріальними та трудовими ресурсами
Ризики на рівні вихідних бухгалтерських даних, як показано на малюнку 2, поділяються на два види. Ризики, пов'язані з концентрацією функції управління, включають втрату поділу обов'язків, передбаченого для ефективної роботи інформаційної системи; проведення бухгалтерських записів без авторизації (візування) витрат; несанкціонований доступ до первинної бухгалтерської інформації; несанкціоновані облікові записи. Під ризиками, пов'язаними з концентрацією даних і програм для їх обробки, розуміють ризик втрати і (або) спотворення даних внаслідок втрати або псування комп'ютерів і програмного забезпечення; ризик втрати первинних документів; ризик при здійсненні автоматичних бухгалтерських записів; ризик при формуванні фінансової звітності в автоматичному режимі [4].
Існують і інші класифікації ризиків, з якими стикаються аудитори при перевірці інформаційних систем. В основі однієї з найпоширеніших класифікацій ризиків лежать джерела потенційних небезпек. У даному випадку виділяють ризики, пов'язані з апаратним і програмним забезпеченням економічного суб'єкта; ризики, пов'язані з кваліфікацією персоналу; ризики, пов'язані з відсутністю заходів щодо забезпечення збереження програм і даних бухгалтерського обліку; ризики, пов'язані з відсутністю контролю введення вихідних даних; ризики, пов'язані із захистом і збереженням фінансової інформації [5].
аудит інформаційна система ризик
Для кожної ризикової ситуації керівництво підприємства спільно зі службою внутрішнього аудиту розробляє контрзаходи. Контрзаходи являють собою контрольні процедури, що підтримують надійність функціонування інформаційної системи і, тим самим, забезпечують достовірність фінансової звітності. Для реалізації контрзаходів необхідно вибрати підхід до проведення аудиту інформаційних систем - попроцессний або поелементний. Сутність попроцессного підходу полягає у перевірці всіх істотних процесів обробки фінансової інформації, починаючи з її збору і закінчуючи поданням керівництву для прийняття управлінських рішень. Попроцессний підхід передбачає виконання трьох етапів: моделювання процесів, декомпозиція модулів і аналіз [2]. Застосовуючи поелементний підхід, аудитор досягає розумну впевненість щодо елементів функціонування інформаційної системи в частині забезпечення достовірності фінансової звітності. Під елементами тут розуміють структурні одиниці інформаційної системи. Їх ділять на функціональні (модулі технічного, технологічного та ергономічного забезпечення) та інформаційні елементи [5]. Далі аудитор здійснює контрольні процедури, що сприяють зниженню ризику до прийнятного рівня (малюнок 3).
Рисунок 3 - Основні напрямки зниження ризиків при проведенні аудиту інформаційних систем
Спостереження, інспектування документації, усний та письмовий опитування є традиційними і, мабуть, найпростішими способами оптимізації аудиторських ризиків. Однак простота не знижує їх значимості при перевірці інформаційних систем. Особливий інтерес представляє метод концептуальних зв'язків, що дозволяє наочно зобразити взаємозв'язок між елементами інформаційної системи. Даний метод був розроблений на основі теорії Д. Аусубела про ефективне навчанні, відповідно до якої ефективне навчання розглядається як «процес, в якому нова інформація зіставляється з існуючим ас...
