Badanie sprawozdania finansowego w środowisku komputerowych systemów informacyjnych w świetle regulacji rewizji finansowej

Pełen tekst

(1)Zeszyty Naukowe nr. 702. 2006. Akademii Ekonomicznej w Krakowie. ¸ukasz Górka Katedra RachunkowoÊci Finansowej. Ma∏gorzata Szulc Katedra RachunkowoÊci Finansowej. Badanie sprawozdania finansowego w Êrodowisku komputerowych systemów informacyjnych w Êwietle regulacji rewizji finansowej 1. Wprowadzenie Współczesna rachunkowość stanowi ogniwo pozwalające ocenić jednostkę gospodarczą i rozliczyć ją z jej otoczeniem społecznym, zaś badanie przez niezależnego eksperta, jakim jest biegły rewident, pozwala podnieść wiarygodność tych informacji. Celem badania jest wydanie przez biegłego rewidenta pisemnej opinii wraz z raportem o tym, czy sprawozdanie jest prawidłowe oraz czy rzetelnie i jasno przedstawia, we wszystkich istotnych aspektach, sytuację majątkową i finansową, jak też wynik finansowy badanej jednostki1. Ma on zatem stwierdzić, czy przedłożone do badania sprawozdanie finansowe jako całość oraz stanowiące podstawę jego sporządzenia księgi rachunkowe są wolne od uchybień polegających na pominięciu lub zniekształceniu informacji istotnych dla odbiorców sprawozdania oraz czy można uznać za rzetelne, prawidłowe i jasne wszystkie informacje zawarte w tym sprawozdaniu. Informacje zweryfikowane przez biegłego rewi1 Ustawa z dnia 29 września 1994 r. o rachunkowości, tekst jednolity Dz.U. 2002, nr 76, poz. 694, art. 65, ust. 1..

(2) Łukasz Górka, Małgorzata Szulc. 132. denta stają się podstawą do podejmowania decyzji przez obecnych i potencjalnych inwestorów, jak też służą kredytodawcom, dostawcom, klientom, organom państwa, a także pracownikom oraz społeczeństwu. Stąd też bardzo ważne jest, aby sprawozdanie zbadane przez biegłego rewidenta wolne było od istotnych nieprawidłowości. Warto zwrócić uwagę, że obowiązkowemu corocznemu badaniu sprawozdania finansowego podlegają wyłącznie większe jednostki gospodarcze. Według zapisów ustawy o rachunkowości, obowiązkowemu badaniu podlegają2: 1) roczne skonsolidowane sprawozdania finansowe grup kapitałowych; 2) roczne sprawozdania finansowe kontynuujących działalność: a) banków oraz zakładów ubezpieczeń, b) jednostek działających na podstawie przepisów o publicznym obrocie papierami wartościowymi i funduszach powierniczych oraz przepisów o funduszach inwestycyjnych, c) jednostek działających na podstawie przepisów o organizacji i funkcjonowaniu funduszy emerytalnych, d) spółek akcyjnych, e) pozostałych jednostek, które w poprzedzającym roku obrotowym, za który sporządzono sprawozdania finansowe, spełniły co najmniej dwa z następujących warunków: – średnioroczne zatrudnienie w przeliczeniu na pełne etaty wyniosło co najmniej 50 osób, – suma aktywów bilansu na koniec roku obrotowego stanowiła równowartość w walucie polskiej co najmniej 2 500 000 euro, – przychody netto ze sprzedaży towarów i produktów oraz operacji finansowych za rok obrotowy stanowiły równowartość w walucie polskiej co najmniej 5 000 000 euro; 3) sprawozdania finansowe spółek przejmujących i spółek nowo zawiązanych, sporządzone za rok obrotowy, w którym nastąpiło połączenie według zasad, o których mowa w rozdziale 4a ustawy o rachunkowości; 4) półroczne sprawozdania finansowe funduszy inwestycyjnych. Jednocześnie zwrócić należy uwagę, że te większe jednostki gospodarcze powszechnie wykorzystują różnorodne komputerowe systemy informacyjne (KSI) w systemie rachunkowości. Ich zastosowanie pozwala na usprawnienie pracy działów finansowo-księgowych i szybszy przepływ informacji służących do podejmowania decyzji. Umożliwiają one także zbieranie informacji z wielu ośrodków lub oddziałów jednostki gospodarczej za pomocą łącz internetowych, co znacznie przyspiesza proces konsolidacji danych księgowych. Automatyzacja sys-. 2. Ibidem, art. 64..

(3) Badanie sprawozdania finansowego…. 133. temu rachunkowości prowadzi do zmian wpływających na ważne aspekty rewizji finansowej, a dotyczących3: – dokumentowania zdarzeń w KSI poprzez zastępowanie tradycyjnych dokumentów papierowych dokumentami generowanymi elektronicznie, co może osłabić odpowiednią weryfikację danych źródłowych; – informowania przez KSI o wynikach przetwarzania danych, co wiąże się również z zastępowaniem dokumentów papierowych dokumentami elektronicznymi, a zatem brak jest papierowych dowodów przetwarzania informacji (tzw. dowodów wyjścia); dotyczy to wyników przetwarzania danych źródłowych zarówno na każdym etapie ich przetwarzania, jak i na etapie wyników końcowych; – utrzymywania przez KSI tzw. śladu rewizyjnego, które nie zawsze jest zapewnione; celem śladu rewizyjnego jest możliwość kontroli prawidłowości przetwarzania informacji na każdym etapie tego przetwarzania. Ponadto skutkiem stosowania przez jednostkę gospodarczą KSI jest4: – zapewnienie niezmienności działania zaprojektowanych algorytmów – co prowadzi do ich dokładnego i niezawodnego realizowania dzięki eliminacji błędu człowieka przy przetwarzaniu danych (np. w zakresie kalkulacji kosztów); – rozprzestrzenianie się błędu – wynika z niezmienności działania zaprojektowanych algorytmów, które mogą zawierać błędy, co będzie skutkować ich systematycznym popełnianiem; – automatyczne generowanie zdarzeń i ich opisów – wynika z wdrożenia coraz bardziej udoskonalonych, a co za tym idzie, bardziej zautomatyzowanych KSI, które samoczynnie generują pewne zapisy księgowe bez udziału użytkownika, co z jednej strony ułatwia i przyspiesza pracę użytkownika, z drugiej jednak strony może w pewnych wypadkach doprowadzić do zaksięgowania zdarzeń przez niego nie zatwierdzonych; – zintegrowanie z funkcjami kontroli – KSI przejęły znaczną część procedur kontrolnych realizowanych w każdej jednostce gospodarczej; przykładem takiej kontroli jest zapewnienie dostępu do określonych danych (np. płacowych) lub operacji tylko upoważnionym użytkownikom oraz śledzenie prób nieuprawnionego dostępu. Wykorzystywanie komputerowych systemów informacyjnych powoduje konieczność posiadania niezbędnej wiedzy i kwalifikacji w tym zakresie przez biegłego rewidenta, umożliwiających zrozumienie wpływu tego środowiska na system rachunkowości i kontroli wewnętrznej, zaplanowanie zakresu i przebiegu. 3. J. Majdziak, A. Zalewski, Wpływ środowiska komputerowych systemów informacyjnych na ryzyko rewizyjne, SKwP, Warszawa 2002, s. 11–18. 4 Ibidem, s. 18–20..

(4) Łukasz Górka, Małgorzata Szulc. 134. badania oraz dostosowanie metod i technik stosownych do badania ksiąg rachunkowych będących podstawą sporządzenia sprawozdania finansowego. 2. Polskie regulacje dotyczàce badania komputerowych systemów informacyjnych Ustawa o rachunkowości dopuszcza prowadzenie ksiąg rachunkowych przy użyciu komputera. Stosowany przez jednostkę gospodarczą KSI musi jednakże spełniać warunki określone w tej ustawie. W przyjętej przez jednostkę gospodarczą polityce rachunkowości musi znajdować się m.in.: – wykaz zbiorów danych tworzących księgi rachunkowe na komputerowych nośnikach danych z określeniem ich struktury, wzajemnych powiązań oraz ich funkcji w organizacji całości ksiąg rachunkowych i w procesach przetwarzania danych; – opis systemu informatycznego, zawierający wykaz programów, procedur lub funkcji, w zależności od struktury oprogramowania, wraz z opisem algorytmów i parametrów oraz programowych zasad ochrony danych, w tym w szczególności metod zabezpieczenia dostępu do danych i systemu ich przetwarzania, a ponadto określenie wersji oprogramowania i daty rozpoczęcia jego eksploatacji5. W wypadku prowadzenia ksiąg rachunkowych przy użyciu komputera za księgi rachunkowe uważa się zasoby informacyjne rachunkowości, zorganizowane w formie oddzielnych komputerowych zbiorów danych, bazy danych lub wyodrębnionych jej części, bez względu na miejsce ich powstania i przechowywania. Warunkiem utrzymywania zasobów informacyjnych systemu rachunkowości w tej formie jest posiadanie przez jednostkę gospodarczą oprogramowania umożliwiającego uzyskiwanie czytelnych informacji w odniesieniu do zapisów dokonanych w księgach rachunkowych, poprzez możliwość ich wydrukowania lub przeniesienia na inny komputerowy nośnik danych. Księgi rachunkowe, z uwzględnieniem techniki ich prowadzenia, powinny być: – trwale oznaczone nazwą (pełną lub skróconą) jednostki gospodarczej, której dotyczą (każda księga wiązana, każda luźna karta kontowa, także jeżeli mają one postać wydruku komputerowego lub zestawienia wyświetlanego na ekranie monitora komputera), nazwą danego rodzaju księgi rachunkowej oraz nazwą programu przetwarzania, – wyraźnie oznaczone co do roku obrotowego, okresu sprawozdawczego i daty sporządzenia, – przechowywane starannie w ustalonej kolejności. 5. Ustawa o rachunkowości…, art. 10, ust. 1, pkt 3 b i c..

(5) Badanie sprawozdania finansowego…. 135. Ponadto przy prowadzeniu ksiąg rachunkowych z zastosowaniem komputera należy zapewnić automatyczną kontrolę ciągłości zapisów, przenoszenia obrotów lub sald. Wydruki komputerowe ksiąg rachunkowych powinny składać się z automatycznie numerowanych stron, z oznaczeniem pierwszej i ostatniej, oraz być sumowane na kolejnych stronach w sposób ciągły w roku obrotowym. Księgi rachunkowe należy wydrukować nie później niż na koniec roku obrotowego. Za równoważne z wydrukiem uznaje się przeniesienie treści ksiąg rachunkowych na inny komputerowy nośnik danych, zapewniający trwałość zapisu informacji, przez czas nie krótszy od wymaganego dla przechowywania ksiąg rachunkowych6. Podstawą zapisów w księgach rachunkowych są dowody księgowe stwierdzające dokonanie operacji gospodarczej, a w przypadku stosowania przez jednostkę gospodarczą KSI za równoważne z dowodami źródłowymi uważa się zapisy w księgach rachunkowych, wprowadzane automatycznie za pośrednictwem urządzeń łączności (np. Internetu), komputerowych nośników danych lub tworzone według algorytmu (programu) na podstawie informacji zawartych już w księgach, przy zapewnieniu, że podczas rejestrowania tych zapisów zostaną spełnione co najmniej następujące warunki: – uzyskają one trwale czytelną postać zgodną z treścią odpowiednich dowodów księgowych, – możliwe jest stwierdzenie źródła ich pochodzenia oraz ustalenie osoby odpowiedzialnej za ich wprowadzenie, – stosowana procedura zapewnia sprawdzenie poprawności przetworzenia odnośnych danych oraz kompletności i identyczności zapisów, – dane źródłowe w miejscu ich powstania są odpowiednio chronione, w sposób zapewniający ich niezmienność, przez okres wymagany do przechowywania danego rodzaju dowodów księgowych7. Nadto jednostka gospodarcza obowiązana jest stosować właściwe procedury i środki chroniące przed zniszczeniem, modyfikacją lub ukryciem zapisów dokonanych w księgach rachunkowych8. Prowadząc księgi rachunkowe przy użyciu komputera, stwierdzone błędy w zapisach księgowych poprawia się wyłącznie poprzez wprowadzenie do ksiąg rachunkowych dowodu zawierającego korekty błędnych zapisów dokonane tylko dodatnimi (czarne storno) lub tylko ujemnymi zapisami (czerwone storno)9. Jednostka gospodarcza wykorzystująca KSI powinna zapewnić odpowiednią ochronę danych, która polega na stosowaniu odpornych na zagrożenia nośników 6. Ibidem, art. 13, ust. 2–6. Ibidem, art. 20, ust. 5. 8 Ibidem, art. 23, ust. 1. 9 Ibidem, art. 25, ust. 1, pkt 2. 7.

(6) 136. Łukasz Górka, Małgorzata Szulc. danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na nośnikach komputerowych (np. CD-ROM), pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, chroniących przed nieupoważnionym dostępem (m.in. poprzez system haseł) lub zniszczeniem10. Zatem biegły rewident badający księgi rachunkowe będące podstawą sporządzenia sprawozdania finansowego powinien sprawdzić przestrzeganie przez jednostkę gospodarczą wszystkich omówionych powyżej warunków ustawowych stosowania KSI. Ponadto biegli rewidenci w procesie badania sprawozdania finansowego winni stosować normy wykonywania zawodu biegłego rewidenta uchwalone przez Krajową Radę Biegłych Rewidentów11. W normie nr 1 dotyczącej ogólnych zasad badania sprawozdań finansowych zawarto postanowienia w zakresie badania środowiska KSI. Techniczne sposoby prowadzenia ksiąg rachunkowych i sporządzania sprawozdań finansowych nie zmieniają celu i przedmiotu badania, jednak modyfikują sposób badania, zależny m.in. od stosowanej technologii przetwarzania danych, złożoności systemów informatycznych czy liczby kont i operacji gospodarczych, które są charakterystyczne dla danej jednostki gospodarczej. W jednostkach gospodarczych stosujących proste programy finansowo-księgowe, rejestrujące małą liczbę operacji gospodarczych na niewielkiej liczbie kont, sposób badania ksiąg rachunkowych prowadzonych za pomocą komputera nie różni się w zasadzie od sposobu badania ksiąg prowadzonych tradycyjnymi technikami12. Badanie ksiąg rachunkowych jednostek gospodarczych stosujących złożone systemy informatyczne, w których na dużej liczbie kont ujmuje się masowo występujące operacje gospodarcze, powinno być starannie przemyślane i przeprowadzone, zwłaszcza jeśli: – jednostka gospodarcza stosuje systemy o tzw. bezpośrednim dostępie (w sieciach), – w toku przetwarzania danych stosowana jest technologia tzw. baz danych. Biegły rewident przeprowadzający badanie takiej jednostki gospodarczej winien uwzględnić korzyści i zagrożenia płynące ze stosowania nowoczesnej techniki i technologii przetwarzania danych. W tym celu powinien on: 10. Ibidem, art. 71, ust. 2. Obecnie obowiązujące normy wykonywania zawodu biegłego rewidenta opublikowano w: Normy wykonywania zawodu biegłego rewidenta, Biuletyn KIBR, nr 53, Warszawa 2003. 12 Norma nr 1 wykonywania zawodu biegłego rewidenta, pkt 23 [w:] Normy…, s. 20. 11.

(7) Badanie sprawozdania finansowego…. 137. – rozpoznać system księgowości i kontroli wewnętrznej także w tych elementach, na które wpływa środowisko informatyczne, – określić wpływ stosowania systemu księgowości prowadzonej za pomocą komputera na ryzyko badania, a zwłaszcza ryzyko kontroli, – odpowiednio zaprojektować i przeprowadzić właściwe badania. Szczególne cechy złożonych systemów rachunkowości prowadzonej za pomocą KSI, których uwzględnienie przy badaniu wydaje się uzasadnione, są następujące13: – systemy informatyczne nie emitują w zapisach księgowych pełnego śladu rewizyjnego; w takim przypadku trzeba ustalić, czy można uzyskać ślad rewizyjny po wykonaniu dodatkowych czynności przez operatora lub administratora systemu; – dane dotyczące jednorodnych operacji gospodarczych są przetwarzane według tych samych algorytmów, co pozwala przyjąć, że dane charakteryzujące te operacje są przetwarzane albo we wszystkich przypadkach bezbłędnie, albo we wszystkich przypadkach błędnie; uzasadnia to wykorzystanie badań zgodności do oceny poprawności algorytmów przetwarzania danych, a przynajmniej operacji występujących masowo; – przejęcie przez złożone systemy księgowości prowadzonej za pomocą komputera wielu istotnych czynności kontrolnych powoduje, że nie przeprowadza się kontroli tradycyjnymi sposobami lub jest ona poważnie osłabiona (przykładem przejęcia takiej kontroli jest programowo zapewnione bilansowanie dowodów księgowych przed ich zaksięgowaniem); – fakt, że na księgowość prowadzoną za pomocą komputera wpływają zarówno pomyłki operatorów i dyspozytorów, jak i działania osób, które uzyskały dostęp do systemu informatycznego w sposób nieuprawniony w celu dokonania przestępstwa; – złożone systemy księgowości prowadzonej za pomocą komputera są na ogół wyposażone w możliwość automatycznego tworzenia zapisów księgowych, co może dotyczyć jednego lub wielu modułów księgowości prowadzonej za pomocą komputera; w tym ostatnim przypadku operacje (pojedyncze lub zagregowane) są z jednego modułu przekazywane do innego modułu za pomocą łączy lub nośników danych; w przypadku stosowania zarówno nośników, jak i łączy dane są narażone na przypadkowe lub zamierzone zniekształcenia; – złożone systemy księgowości prowadzonej za pomocą komputera są na ogół wyposażone w moduły służące analizie i w moduły sporządzające zestawienia liczbowe (raporty, sprawozdania), których treść może być dowolnie modyfikowana; moduły analizy oraz moduły tworzące sprawozdania mogą być dla celów 13. Ibidem, pkt 24, s. 21–22..

(8) 138. Łukasz Górka, Małgorzata Szulc. kontrolnych wykorzystywane zarówno w toku zarządzania jednostką gospodarczą, jak i do kontroli wewnętrznej i zewnętrznej (w tym także podczas badania); – systemy księgowości prowadzonej za pomocą komputera są na ogół wyposażone przez producentów programów w stosowną dokumentację; dokumentacja ta powinna być przez biegłego rewidenta wykorzystana do rozpoznania algorytmów przetwarzania danych księgowych i oceny ich prawidłowości; porównanie opisanych w dokumentacji algorytmów z rzeczywiście stosowanymi przy przetwarzaniu stanowi ważną pomoc przy rozpoznawaniu systemu, zwłaszcza jeśli biegły rewident nie dysponuje specjalnym programem wspomagającym przeprowadzanie rewizji. W literaturze wyróżnia się trzy podstawowe metody badania KSI14: – badanie „obok” komputera – polega na badaniu wprowadzanych danych i wyników przetwarzania danych uzyskanych dzięki zastosowaniu KSI bez względu na pracę samego sytemu; chodzi tu o badanie nie powiązanych z programami KSI kontroli sprawowanych przez użytkowników drogą porównania sum ustalonych niezależnie do komputera z sumami obliczonymi przez KSI; badanie takie stosuje się przy systemach wsadowych posiadających widoczny ślad rewizyjny operacji dokonywanych na różnych etapach przetwarzania, prostą logikę przetwarzania i dobrze zdefiniowane, przetestowane i akceptowane oprogramowanie; – badanie „przez” komputer – polega na sprawdzeniu zgodności działania systemu z przewidzianymi dla niego procedurami kontrolnymi; badanie takie stosuje się, gdy przetwarzane zbiory danych (wejściowe i wynikowe) są duże, logika przetwarzania danych jest złożona, a podstawowe elementy systemu przetwarzania danych są skomputeryzowane; – badanie „przy użyciu” komputera – polega na wykorzystaniu przez biegłego rewidenta specjalnych programów kontrolnych do przetwarzania rzeczywistych zbiorów danych jednostki gospodarczej; umożliwiają one mniejszym nakładem pracy zwiększenie zakresu badań zapewniając tym samym ujednolicenie kryteriów stosowanych do oceny KSI. Ponadto biegły rewident w raporcie z badania powinien zawrzeć wyniki przeprowadzonego badania KSI, które uwidaczniają się m.in. w ocenie prawidłowości stosowanego systemu księgowości i działania powiązanej z nim kontroli wewnętrznej i obejmują: – stwierdzenie, czy jednostka gospodarcza posiada aktualną dokumentację opisującą przyjęte przez nią zasady (politykę) rachunkowości, – ocenę zasadności i ciągłości stosowanych zasad (polityki) rachunkowości, w tym prawidłowości otwarcia ksiąg rachunkowych,. 14. Z. Fedak, Metody i technika rewizji sprawozdań finansowych, SKwP, Warszawa 1998, s. 61..

(9) Badanie sprawozdania finansowego…. 139. – ocenę prawidłowości dokumentacji operacji gospodarczych, – ocenę rzetelności, bezbłędności i sprawdzalności ksiąg rachunkowych, w tym także prowadzonych za pomocą komputera, powiązania dokonanych w nich zapisów z dowodami księgowymi oraz sprawozdaniem finansowym, – ocenę stosowanych metod zabezpieczania dostępu do danych i systemu ich przetwarzania za pomocą komputera, – ocenę właściwej ochrony dokumentacji księgowej, ksiąg rachunkowych i sprawozdań finansowych. Polskie regulacje dotyczące KSI podkreślają zatem wagę tego problemu w procesie badania sprawozdania finansowego. Bardziej szczegółowo problem ten omawiają Międzynarodowe Standardy Rewizji Finansowej (MSRF)15, którymi biegły rewident kieruje się w sprawach nieuregulowanych w normach, przy ustalaniu szczegółowej metodyki planowania i przeprowadzania badania oraz w razie wątpliwości. 3. Mi´dzynarodowe regulacje dotyczàce badania komputerowych systemów informacyjnych Regulacje światowe w zakresie badania KSI zawarte zostały w MSRF 401. Ma on na celu określenie norm i wytycznych dotyczących procedur, jakie należy stosować w procesie badania sprawozdania finansowego w środowisku KSI. Zgodnie z tym standardem ogólny cel i zakres badania nie ulega zmianie w środowisku KSI, lecz użytkowanie komputera zmienia sposób przetwarzania, przechowywania i przekazywania informacji finansowych i może wpływać na stosowane przez jednostkę gospodarczą systemy księgowości i kontroli wewnętrznej. Zatem środowisko KSI może wpływać na16: – procedury, które biegły rewident stosuje w celu uzyskania wystarczającej znajomości systemów księgowości i kontroli wewnętrznej, – analizę ryzyka nieodłącznego i ryzyka kontroli, co pozwala biegłemu rewidentowi oszacować ryzyko badania, – zaprojektowanie i przeprowadzenie przez biegłego rewidenta badań zgodności i wiarygodności niezbędnych do osiągnięcia celu badania. Standard ten zwraca uwagę m.in. na umiejętności i kompetencje biegłego rewidenta podczas badania sprawozdania finansowego jednostki gospodarczej stosującej KSI. W procesie badania KSI biegły rewident powinien posiadać dostateczną wiedzę o badanym systemie, aby zaplanować, pokierować, nadzorować 15 16. Międzynarodowe Standardy Rewizji Finansowej 2001, SKwP, Warszawa 2002. Ibidem, s. 187..

(10) Łukasz Górka, Małgorzata Szulc. 140. i weryfikować wykonywane prace. Biegły rewident powinien rozważyć, czy do badania potrzebne są określone specjalistyczne umiejętności z zakresu KSI. Mogą być one przydatne do17: – uzyskania dostatecznej znajomości systemów księgowości i kontroli wewnętrznej, na które ma wpływ środowisko KSI, – ustalenia wpływu środowiska KSI na szacunek ogólnego ryzyka oraz ryzyka na poziomie poszczególnych sald kont i grup transakcji, – zaprojektowania i przeprowadzenia odpowiednich badań zgodności i wiarygodności. W przypadku konieczności posiadania niezbędnych specjalistycznych umiejętności, biegły rewident powinien zapewnić sobie pomoc specjalisty posiadającego takie umiejętności. Może to być zarówno jeden z pracowników biegłego rewidenta, jak i specjalista – informatyk z zewnątrz. Jeżeli biegły rewident planuje skorzystanie z usług takiego specjalisty, to powinien – zgodnie z MSRF 620 „Korzystanie z usług rzeczoznawcy” – uzyskać dostateczne i odpowiednie dowody badania poświadczające, że prace te zapewniły osiągnięcie celu badania. W znacznej części MSRF 401 odnosi się do problemu właściwego zaplanowania tej części badania, która związana jest ze stosowanym systemem komputerowym. Planując badanie, na które może wpływać środowisko KSI zleceniodawcy, biegły rewident powinien zatem zrozumieć znaczenie i złożoność czynności związanych z KSI i uwzględnić dostępność danych potrzebnych podczas badania. Dotyczy to następujących zagadnień18: a) zrozumienia znaczenia i złożoności procesów komputerowego przetwarzania danych w przypadku każdego znaczącego programu księgowego – przy czym termin „znaczenie” odnosi się do istotności tych stwierdzeń sprawozdania finansowego, na które wpływa komputerowe przetwarzanie danych, a z kolei złożoność programu występuje, gdy np.: – ilość transakcji jest na tyle duża, że przy ich przetwarzaniu użytkownicy mieliby trudności z zauważeniem błędów i ich poprawieniem, – następuje automatyczne przekazanie znaczących transakcji lub zapisów bezpośrednio do innego programu, – komputer dokonuje skomplikowanych wyliczeń danych finansowych i (lub) automatycznie tworzy istotne transakcje lub zapisy, które nie mogą być (lub nie są) niezależnie potwierdzane przez użytkownika,. 17 18. Ibidem. Ibidem, s. 188–190..

(11) Badanie sprawozdania finansowego…. 141. – następuje elektroniczna wymiana transakcji z innymi organizacjami (np. w systemach elektronicznej wymiany danych – EWD) bez ręcznego przeglądu ich poprawności lub racjonalności; b) struktury organizacyjnej czynności KSI w jednostce gospodarczej oraz zakresu koncentracji lub rozproszenia komputerowego przetwarzania danych, szczególnie jeżeli wpływa to na podział obowiązków; c) dostępności danych; potrzebne biegłemu rewidentowi dokumenty źródłowe, określone pliki komputerowe i inne materiały o charakterze dowodowym mogąistnieć tylko przez krótki czas lub tylko w formie dostępnej do elektronicznego odczytu; KSI zleceniodawcy może generować wewnętrzne raporty, przydatne przy badaniach wiarygodności (zwłaszcza do procedur analitycznych); potencjał, jaki stwarza stosowanie wspomaganych komputerowo technik badania, może przyczynić się do wzrostu wydajności procedur badania lub też pozwolić biegłemu rewidentowi na niedrogie zastosowanie określonych procedur do całego zbioru kont lub transakcji. Duże znaczenie środowiska KSI obliguje biegłego rewidenta do rozpoznania tego środowiska oraz jego ewentualnego wpływu na szacunek ryzyka niezależnego od biegłego rewidenta, tj. ryzyka nieodłącznego i ryzyka kontroli. Charakter tego ryzyka oraz cechy kontroli wewnętrznej w środowiskach KSI określają następujące czynniki: – brak ścieżki rewizyjnej – ponieważ niektóre KSI są zaprojektowane w ten sposób, że przydatna przy badaniu kompletna ścieżka rewizyjna istnieje tylko przez krótki czas lub tylko w formie dostępnej do odczytu elektronicznego; złożoność programu przetwarzającego dane wykonującego przy tym dużą ilość czynności może powodować brak kompletnej ścieżki rewizyjnej, co może wywołać trudności w szybkim wykryciu błędów logiki programu przy zastosowaniu procedur przeprowadzanych ręcznie przez użytkownika; – jednolitość przetwarzania komputerowego podobnych transakcji na podstawie tych samych instrukcji – umożliwia z jednej strony właściwie całkowite wyeliminowanie błędów kojarzonych z ręcznym przetwarzaniem danych, z drugiej jednak strony, skutkiem wystąpienia błędów w programie (bądź innych błędów systemowych w sprzęcie lub oprogramowaniu) jest nieprawidłowe przetwarzanie wszystkich tych transakcji; – brak podziału funkcji – powoduje możliwość wykonania niekompatybilnych funkcji przez operatora KSI; w systemach prowadzonych ręcznie różne procedury kontroli są zazwyczaj wykonywane przez kilka osób, a w przypadku stosowania KSI są skoncentrowane; – zwiększona możliwość wystąpienia błędów i uchybień przy opracowywaniu, serwisowaniu i działaniu KSI niż w systemach ręcznych – co wynika ze stopnia szczegółowości tych systemów; w środowisku KSI występuje także większa moż-.

(12) Łukasz Górka, Małgorzata Szulc. 142. liwość uzyskania przez nieupoważnione osoby dostępu do danych lub dokonania zmian danych bez pozostawienia widocznego śladu, w porównaniu z systemami prowadzonymi ręcznie; mniejsze zaangażowanie ludzi w przetwarzanie transakcji w środowiskach KSI ogranicza również szansę dostrzeżenia błędów i uchybień; – możliwość rozpoczynania i wykonywania określonych rodzajów transakcji w środowisku KSI w sposób automatyczny – co zmienia sposób zatwierdzania i dokumentowania tych transakcji lub procedur w porównaniu z systemami prowadzonymi ręcznie; zatwierdzanie tych transakcji przez kierownictwo może następować poprzez samo zaakceptowanie architektury środowiska KSI i jej późniejszych modyfikacji; – zależność od innych kontroli elektronicznego przetwarzania danych – w wyniku tego przetwarzania mogą być tworzone raporty i inne dane wyjściowe wykorzystywane przy przeprowadzaniu ręcznych procedur kontroli, których skuteczność może zależeć od jakości kontroli kompletności i prawidłowości komputerowego przetwarzania danych, z kolei skuteczność i spójne działanie kontroli przetwarzania transakcji przez programy użytkowe zależy często od skuteczności ogólnych kontroli nad KSI; – możliwość sprawowania pełniejszej kontroli przez kierownictwo dzięki różnorodnym narzędziom analitycznym, które mogą być wykorzystane do kontroli działalności jednostki gospodarczej – dostępność i właściwe wykorzystanie tych dodatkowych kontroli może przyczynić się do poprawy całej struktury kontroli wewnętrznej; – możliwość stosowania przez biegłego rewidenta wspomaganych komputerowo technik badania oraz nowoczesnych narzędzi w zakresie przetwarzania i analizy dużych ilości danych do przeprowadzenia testów rewizyjnych. Standard ten odnosi się również do problemu ryzyka badania sprawozdania finansowego sporządzonego w środowisku KSI. W nawiązaniu do MSRF 400 „Oszacowanie ryzyka i kontrola wewnętrzna”, biegły rewident powinien oszacować ryzyko nieodłączne i ryzyko kontroli związane z istotnymi stwierdzeniami badanego sprawozdania finansowego. Ryzyko niezależne od biegłego rewidenta w środowisku KSI może wpływać na prawdopodobieństwo wystąpienia istotnych nieprawidłowości19: – ryzyko niezależne od biegłego rewidenta może wynikać z usterek KSI, tj.: opracowywania i serwisowania programów, działania oprogramowania systemowego, działania i fizycznego zabezpieczenia środowiska KSI oraz kontroli dostępu nieupoważnionych osób do programów użytkowych; usterki te mają tendencję do wywierania szerokiego wpływu na wszystkie systemy komputerowe posiadane przez jednostkę gospodarczą; 19. Ibidem, s. 190–191..

(13) Badanie sprawozdania finansowego…. 143. – ryzyko to zwiększa możliwość wystąpienia błędów lub działań noszących znamiona oszustw w konkretnych aplikacjach, konkretnych bazach danych lub plikach głównych bądź przy pewnych czynnościach przetwarzania danych; błędy zdarzają się częściej w systemach wykonujących złożone zadania logiczne lub wyliczenia oraz w systemach, które przewidują wiele różnych wyjątków; dotyczą także systemów kontrolujących rozchody środków pieniężnych lub innych płynnych aktywów podatnych na zagarnięcia. Pojawianie się nowych technologii w środowisku KSI powoduje powszechniejsze wykorzystywanie przez zleceniodawców badania tych technologii do budowy coraz bardziej złożonych systemów komputerowych, które mogą obejmować połączenia terminali z komputerem głównym, rozproszone bazy danych, przetwarzanie danych przez użytkowników oraz systemy zarządzania działalnością, które przekazują informacje bezpośrednio do systemów finansowo-księgowych. Złożone systemy informacyjne zwiększają ogólny stopień zaawansowania środowiska KSI oraz złożoność poszczególnych programów, na które wpływają, co prowadzi do zwiększenia ryzyka i wymaga poświęcenia im większej uwagi przez biegłego rewidenta. Końcowa część tego standardu zwraca uwagę na konieczność dostosowania przez biegłego rewidenta procedur badania w przypadku rewizji sprawozdania finansowego jednostki gospodarczej stosującej KSI tak, aby zapewnić obniżenie ryzyka badania do akceptowalnego, niskiego poziomu. Aby uzyskać wystarczający materiał dowodowy, biegły rewident może stosować ręczne procedury badania, wspomagane komputerowo techniki badania lub kombinację obu tych technik. Jednakże w niektórych systemach księgowości wykorzystujących komputer do wykonania istotnych czynności przetwarzania danych uzyskanie przez biegłego rewidenta pewnych danych dla celów inspekcji, kierowania zapytań lub dokonania potwierdzeń może być trudne lub nawet niemożliwe bez pomocy komputera. Oprócz standardu 401 w MSRF zawarte są Międzynarodowe Wskazówki dotyczące Praktyki Rewizji Finansowej, które nie mają rangi standardów. Stanowią one jedynie wytyczne, których celem jest zapewnienie biegłemu rewidentowi praktycznej pomocy we wdrażaniu MSRF oraz promowanie właściwej praktyki w tym zakresie. Do badania sprawozdania finansowego w środowisku KSI odnoszą się następujące wskazówki20: – 1001 – „Środowiska technologii informacji (IT) – wolnostojące komputery osobiste” – zawiera opis skutków zastosowania wolnostojących komputerów dla systemu finansowo-księgowego i związanej z nim kontroli wewnętrznej oraz procedury badania,. 20. Ibidem, s. 429–630..

(14) Łukasz Górka, Małgorzata Szulc. 144. – 1002 – „Środowiska technologii informacji (IT) – bezpośrednie systemy komputerowe” – zawiera opis skutków zastosowania bezpośrednich systemów komputerowych w systemie finansowo-księgowym i związanej z nim kontroli wewnętrznej oraz procedury badania, – 1003 – „Środowiska technologii informacji (IT) – systemy baz danych” – zawiera opis skutków zastosowania baz danych w systemie finansowo-księgowym i związanej z nim kontroli wewnętrznej oraz procedury badania, – 1008 – „Oszacowanie ryzyka a kontrola wewnętrzna – charakterystyka i uwagi na temat KSI” – zawiera opis różnych środowisk KSI oraz ich wpływu na systemy finansowo-księgowe i kontroli wewnętrznej, a także na procedury badania, – 1009 – „Wspomagane komputerowo techniki badania” – dotyczą wszelkich zastosowań wspomaganych komputerowo technik badania niezależnie od jego rodzaju lub wielkości wykorzystywanego komputera. Międzynarodowy Standard Rewizji Finansowej 401 uzupełniony wskazówkami dotyczącymi badania środowiska KSI stanowi znacznie bogatszą wykładnię zaleceń przydatnych biegłemu rewidentowi przy badaniu sprawozdania finansowego jednostki gospodarczej wykorzystującej KSI, w porównaniu z regulacjami krajowymi. Dlatego też biegli rewidenci w procesie badania powinni posiłkować się regulacjami światowymi w tym zakresie. 4. Zakoƒczenie Postęp techniczny i związane z tym szybkie doskonalenie oraz coraz większa złożoność KSI powoduje, że środowisko to ma znaczący wpływ na kształt i sposoby wykonywania badania sprawozdania finansowego przez biegłego rewidenta, a zwłaszcza na dobór odpowiednich metod i technik badawczych oraz dokonywanie oceny systemu rachunkowości i związanej z nią, a zarazem coraz bardziej zintegrowanej kontroli wewnętrznej. Szybkie doskonalenie i złożoność KSI ma wpływ szczególnie na21: – kwalifikacje biegłego rewidenta, – uzyskiwanie wstępnych informacji o KSI i działającym w jego środowisku systemie rachunkowości, – rozpoznanie i ocenę działania kontroli wewnętrznej zintegrowanej z zautomatyzowanymi procedurami prowadzenia ksiąg rachunkowych. W obliczu tak szybkich zmian technologicznych każdy biegły rewident staje przed wyzwaniem nieustannego doskonalenia swoich umiejętności i kwalifikacji w zakresie środowiska informatycznego. Obowiązek stałego podnoszenia swoich kwalifikacji również w tym zakresie wynika z regulacji zawartych w Kodeksie 21. J. Majdziak, A. Zalewski, op. cit., s. 22–23..

(15) Badanie sprawozdania finansowego…. 145. etyki zawodowej biegłych rewidentów22. Jednocześnie konieczność dokonania oceny systemu rachunkowości i kontroli wewnętrznej działającej w KSI wymaga od biegłego rewidenta zapoznania się z ich organizacją i możliwie najpełniejszego poznania struktur zbiorów danych oraz procedur przetwarzania danych finansowo-księgowych. Biegły rewident przy określaniu ryzyka badania musi uwzględnić również odmienne warunki tworzenia informacji finansowo-księgowych w środowisku KSI 23. Ograniczenie ryzyka badania do akceptowalnego, niskiego poziomu wymaga współcześnie od biegłego rewidenta dobrej znajomości tego środowiska. Do badania sprawozdania finansowego sporządzonego na podstawie ksiąg rachunkowych prowadzonych przy użyciu KSI biegli rewidenci poza regulacjami polskimi w tym zakresie powinni korzystać z bogatego dorobku światowej rewizji finansowej. W związku z występowaniem coraz bardziej złożonych systemów informatycznych problem badania środowiska KSI nabrał istotnej wagi, a szybki postęp w tym zakresie spowoduje, że zagadnienie to zyska jeszcze na znaczeniu. Literatura Fedak Z., Metody i technika rewizji sprawozdań finansowych, SKwP, Warszawa 1998. Kodeks etyki zawodowej biegłych rewidentów, Nadzwyczajny Krajowy Zjazd Biegłych Rewidentów 29–30.06.2002, Jachranka, Biuletyn KiBR, Warszawa 2002. Majdziak J., Zalewski A., Wpływ środowiska komputerowych systemów informacyjnych na ryzyko rewizyjne, SKwP, Warszawa 2002. Micherda B., Andrzejewski M., Ryzyko badania sprawozdania finansowego w świetle rozwoju komputerowych systemów rachunkowości, IV Doroczna Konferencja Audytingu 19–21.11.2003, Jachranka k. Warszawy, KIBR, Warszawa 2004. Międzynarodowe Standardy Rewizji Finansowej 2001, SKwP, Warszawa 2002. Normy wykonywania zawodu biegłego rewidenta, Biuletyn KIBR, nr 53, Warszawa 2003. Ustawa z dnia 29 września 1994 r. o rachunkowości, t.j. Dz.U. 2002, nr 76, poz. 694.. 22 Kodeks etyki zawodowej biegłych rewidentów, Nadzwyczajny Krajowy Zjazd Biegłych Rewidentów, 29–30.06.2002, Jachranka, Biuletyn KiBR, Warszawa 2002. 23 Szerzej na ten temat w referacie: B. Micherda, M. Andrzejewski, Ryzyko badania sprawozdania finansowego w świetle rozwoju komputerowych systemów rachunkowości, IV Doroczna Konferencja Audytingu, 19–21.11.2003, Jachranka, KIBR, Warszawa 2004..

(16) 146. Łukasz Górka, Małgorzata Szulc. Reviewing Financial Statements in a Computer Information Systems Environment in Light of Regulations on Financial Audits Larger business entities, subject to annual, obligatory audits by a registered auditor, commonly use a variety of computer information systems (CIS) in their accounting systems. The application of such systems enables the improvement of the work of financial and accounting departments and a faster flow of information for decision-making. In this article, the authors discuss Polish and global regulations on auditing computer information system environments. To use CIS, the auditor must possess essential knowledge and qualifications in this area, enabling him or her to understand the impact of this environment on the accounting system and internal control, to plan the scope and course of the audit, and to adjust the methods and techniques appropriate for auditing the accounting books based upon which the financial statements were prepared. Given such rapid technological change, every registered auditor is faced with the challenge of constantly having to improve his or her skills and qualifications with respect to the computer information environment. At the same time, in order to evaluate the accounting and internal control system operating in CIS, the registered auditor must become familiar with their organisation and possess thorough knowledge of the structures of data sets as well as procedures for processing financial and accounting data. The authors also draw attention to the problem of limiting the risk of the audit down to an acceptable, low level; presently, this requires that a registered auditor be well informed on the computer information environment..

(17)