Влияние облачных технологий на аудит финансовой отчетности

В статье показано влияние облачных технологий на процесс проведения аудита финансовой отчетности в отношении аудиторского риска и аудиторских процедур, приведены примеры рисков использования облачных технологий.

В современной периодической литературе облачные технологии определяют как сеть ресурсов информационных систем (аппаратное обеспечение, программное обеспечение, базы данных и др.), которая обеспечивает веб-центрированные онлайн-услуги [10]. Использование облачных технологий соответствует направлению Федеральной целевой программы (ФЦП) "Электронная Россия", целью которой является "повышение эффективности функционирования экономики... за счет массового распространения информационных и коммуникационных технологий, обеспечения прав на свободный поиск, получение, передачу, производство и распространение информации; расширения подготовки специалистов по информационным и коммуникационным технологиям и квалифицированных пользователей" [4].

Таким образом, облачные технологии представляют собой средства распределенной обработки, хранения и передачи данных посредством Интернета, что также отвечает задачам ФЦП, в числе которых, помимо формирования нормативно-правовой базы, указано также формирование "условий для подключения к открытым информационным системам, в т.ч. посредством сети Интернет" [4].

В крупных компаниях с большим количеством сотрудников гибкость корпоративной информационной поддержки крайне необходима - она позволяет динамично координировать работу всех сотрудников, находящихся как в стенах предприятия, так и в командировках. Облачные технологии призваны обеспечить указанную гибкость. Исследование вопросов применения и распространения облачных систем является весьма актуальным, т.к. такие технологии постепенно, но уверенно входят в жизнь современных предприятий и позволяют достигать высоких результатов с оптимальным уровнем затрат.

По оценке исследовательской компании IDC, в 2009 г. рынок облачных услуг в России на 94% был связан с программным обеспечением и лишь на 6% - с предложениями в области инфраструктуры и средств разработки [2]. В настоящее время облачные сервисы применяются в основном для хранения данных (резервного и обычного). На облачную платформу потенциально могут быть перемещены также CRM-системы, системы управления документами и офисные приложения [3].

Данные опроса руководителей экономических субъектов в Европе и Соединенных Штатах Америки об использовании облачных технологий, приведенные в таблице [7], свидетельствуют о том, что доля предприятий, которые не используют облачные технологии, сокращается.

Таблица

Использование облачных технологий на предприятиях США и Европы

    Варианты   
 использования 
    облачных   
   технологий  

           Европа           

             США            

Февраль 2010 г.

Март 2011 г.

Февраль 2010 г.

Март 2011 г.

Использование  
облачных       
технологий для 
низкорисковых  
услуг, не      
значимых для   
миссии компании

       9%      

     23%    

      16%      

     25%    

Использование  
облачных       
технологий для 
значимых для   
миссии компании
сервисов       

       9%      

      9%    

      10%      

     14%    

Облачные       
технологии не  
используется   

      36%      

     30%    

      26%      

     21%    

Планы          
относительно   
облачных       
технологий     
неизвестны     

      18%      

     20%    

      18%      

     20%    

Детали плана   
применения     
облачных       
технологий     
неизвестны     

      28%      

     18%    

      30%      

     20%    

Количество     
опрошенных     

      1537     

     657    

      1799     

     712    

На рынке облачных услуг выделяют несколько вариантов взаимодействия пользователя и поставщика таких услуг:

• программное обеспечение как сервис (Software as a service - SaaS);
• инфраструктура как сервис (Infrastructure as a service - IaaS);
• платформа как сервис (Platform as a service - PaaS).

Примером SaaS продукта на российском рынке бухгалтерских услуг может служить программа "Мое дело" одноименной фирмы, функционал которой предлагает пользователям (индивидуальным предпринимателям, обществам с ограниченной ответственностью) такие услуги, как составление счетов, актов и накладных, составление бухгалтерской и налоговой отчетности, расчет налогов и сборов, отправка отчетности посредством сети Интернет в государственные органы власти и др. Подготовленные в режиме реального времени в формате pdf или xls документы можно отправить контрагенту.

Программное обеспечение, используемое для составления финансовой отчетности, не ограничивается системами бухгалтерского учета. Для раскрытия данных в пояснительной записке могут быть использованы архивы документов, CRM- и ERP-системы, а также другие программы бизнес-аналитики. Так, на SaaS рынке в России примером CRM-систем может служить программа "Мегаплан" одноименной фирмы, функционал которой позволяет автоматизировать процесс продаж, вести учет клиентов и отслеживать ход сделок.

Использование облачных систем фактически возвращает аудитора к вопросам аутсорсинга при формировании финансовой отчетности, а значит, к учету внешних факторов, преимущественно рисков, и взаимодействию с внешними поставщиками услуг. Таким образом, традиционный аудит финансовой отчетности как изолированного объекта проверки уступает место аудиту на основе рисков (АНОР), влиянию которых подвержены аудируемое предприятие и его финансовая отчетность.

Азиатская организация высших органов контроля государственных финансов (ASOSAI) определяет аудит на основе рисков как подход, при котором проводится анализ аудиторских рисков (АР), являющийся основой для установления уровня существенности и разработки аудиторских программ, и уделяется особое внимание областям, имеющим повышенную степень риска [6]. В данном случае областью с повышенным риском является использование облачных технологий.

Взаимосвязь облачных технологий и финансовой отчетности с аудиторским риском наглядно представлена на рисунке.

Распределение аудиторского риска по элементам

- - - - - - - - - - - - - ¬ - - - - - - - - - - - -¬ - - - - - - - - - - -¬
  ----------------------¬                              -----------------¬
¦ ¦  Бухгалтерский учет +-+-+----------------------+-+>¦                ¦ ¦
  ¦                     ¦<+-+----------------------+-+-+                ¦
¦ L----------------------                              ¦                ¦ ¦
  ----------------------¬ ¦ ¦                      ¦ ¦ ¦                ¦
¦ ¦Финансовая отчетность¦         Внешняя среда        ¦    Поставщик   ¦ ¦
  ¦                     ¦ ¦ ¦     -------------    ¦ ¦ ¦ облачных услуг ¦
¦ L----------------------                              ¦                ¦ ¦
  ----------------------¬ ¦ ¦                      ¦ ¦ ¦                ¦
¦ ¦ Управленческий учет +----------------------------->¦                ¦ ¦
  ¦                     ¦<-----------------------------+                ¦
¦ L---------------------- ¦ ¦                      ¦ ¦ L----------------- ¦
¦    Риск необнаружения   ¦ ¦ Риск средств контроля¦ ¦  Неотъемлемый риск ¦
L - - - - - - - - - - - - - L - - - - - - - - - - -- L - - - - - - - - - --
-------> Информационные потоки

Рис. 1

Как видно из рисунка, риск необнаружения в большей степени относится непосредственно к самой финансовой отчетности, а риск средств контроля - к процессам взаимодействия с поставщиком услуг, например таким, как передача данных. Следовательно, риски поставщика облачных услуг, например такие, как хакерские атаки, представляют собой риски вне сферы контроля аудируемого лица, а значит, увеличивают неотъемлемый риск в структуре аудиторского риска.

Наиболее распространенными рисками по опросам среди руководителей признаются риски потери контроля над данными и риски сохранности и безопасности данных. Во всех этих случаях на первое место выходит вопрос идентификации пользователей. Несмотря на значительные успехи в области обеспечения безопасного доступа со стороны ИТ-разработчиков (использование USB-ключа, смарт-карты, концепции одноразовых паролей), аутентичность каждого пользователя всегда находится под угрозой со стороны ненадежных лиц, особенно при удаленном доступе вне границ предприятия.

Для снижения уровня указанных рисков, которые напрямую влияют на достоверность финансовой отчетности, аудируемое лицо и поставщик облачных услуг должны заключить договор, в котором в отношении каждого информационного инцидента должна быть прописана контрольная процедура ответной реакции в целях минимизации неблагоприятных последствий.

Если рассматривать облачные риски в качестве угрозы в отношении достоверности финансовой отчетности, то преимущественно это касается облачной системы контроля. Облачная система контроля включает те же элементы, что и система контроля аудируемого лица (контрольная среда, оценка риска, контрольные процедуры, информация и коммуникация, мониторинг), однако находится у поставщика облачных услуг. Рассматривая облачную систему контроля, аудитор не может проводить проверку всех ее элементов, если это не согласовано между поставщиком услуг и аудируемым лицом. Такая проверка может быть усложнена фактом географической удаленности офисов поставщика, который в целях экономии может разместить свои производственные мощности, например в странах Азии. Тем не менее получить понимание относительно облачной контрольной среды у поставщика облачных услуг необходимо для того, чтобы снизить неотъемлемый аудиторский риск.

Под облачной контрольной средой понимается совокупность технических и социальных процессов, обеспечивающих надежные условия функционирования системы внутреннего контроля. Помимо внутренних постановлений и регламентов, описывающих общие и конкретные действия сотрудников в той или иной ситуации, облачная контрольная среда включает в себя также атмосферу у поставщика услуг. Если описания контрольных процедур выполнены должным образом, но никто не проверяет их выполнение, то следует говорить о плохой атмосфере. Однако если аудитор обладает возможностью сделать собственную оценку контрольной среды аудируемого лица, то в отношении поставщика облачных услуг данная задача в значительной степени затруднена. Тем не менее в этом случае наилучшим выходом является привлечение еще одного аудитора по месту нахождения поставщика облачных услуг с целью выражения мнения относительно надежности его контрольной среды и процедур в виде формализованного отчета.

Помимо указанных выше рисков потери данных и безопасности, следует также помнить о рисках, которые влияют на такую важную предпосылку успешного функционирования бизнеса, как непрерывность деятельности. При использовании облачных технологий предприятие попадает в ситуацию, когда от поставщика облачных услуг зависит его возможность осуществлять свою работу в будущем. Встает вопрос: что будет, если поставщик завтра обанкротится или перестанет существовать? Каким образом получить данные, которые обрабатывались у него на серверах? Таким образом, возможность проверяемого предприятия работать в будущем напрямую зависит от непрерывности деятельности поставщика облачных услуг. Данные вопросы должны быть урегулированы на законодательном уровне, с тем чтобы обезопасить обе стороны.

Использование облачных технологий пока еще не в значительной мере, однако с каждым годом все в большей степени оказывает влияние на составление финансовой отчетности. Слабая разработанность связанной с этим нормативно-правовой базы указывает на то, что аудитору исключительно важно помнить о рисках обработки данных вне информационных систем проверяемого предприятия и уделять повышенное внимание проверке системы внутреннего контроля не только аудируемого лица, но и поставщика облачных услуг. Использование облачных сервисов предприятием ведет к тому, что аудитор в целях снижения аудиторского риска до приемлемого уровня должен составить свои процедуры проверки таким образом, чтобы получить разумную уверенность в отношении всех данных, отражаемых в финансовой отчетности. Обычно это ведет к увеличению аудиторских процедур и, возможно, к привлечению экспертов в области информационных технологий.

Список литературы

1. Волкова Е. Ступени, ведущие к облакам // Intelligent Enterprise. 2011. N 7.
2. Гребнев Е. На что способны российские облака? [Электронный ресурс] // URL: http://cloud.cnews.ru/reviews/index.shtml?2011/06/14/443839 (дата обращения - 10.09.2011).
3. Новостная лента издательства "Открытые системы". Почти половина крупных компаний использует облачные системы [Электронный ресурс] // URL: http://www.osp.ru/cloud/news/13007382.html (дата обращения - 13.09.2011).
4. Постановление Правительства РФ от 28.01.2002 N 65 "О федеральной целевой программе "Электронная Россия (2002 - 2010 годы)" [Электронный ресурс] // URL: http://fcp.economy.gov.ru/cgi-bin/cis/fcp.cgi/Fcp/ViewFcp/View/2006/134 (дата обращения - 12.09.2011).
5. Шпунт Я. Защита объектов с неопределенными границами // Intelligent Enterprise. 2011. N 7 (июль).
6. 7th ASOSAI Research Project on "Audit Quality Management Systems" [Электронный ресурс] // URL: http://www.asosai.org/asosai_old/R_P_auditquality/contents.htm (дата обращения - 11.09.2011).
7. ISACA Risk/Reward barometer [Электронный ресурс] // URL: https://www.isaca.org/Search/Content&start1=0&ct=Site&cs=ISACA (дата обращения - 10.09.2011).
8. IT Control Objectives for Cloud Computing: Controls Pages/DefaultResults.aspx?k=risk-reward%20 barometer&s=Site%20 and Assurance in the Cloud. USA: ISACA, 2011. 193 p.
9. Sailesh Gadia. Cloud computing: An auditor's perspective // ISACA Journal. 2009. Vol. 6.
10. Vasant Raval. Risk landscape of cloud computing // ISACA Journal. 2010. Vol. 1.

О.В.Баранова

К. э. н.,

старший аудитор

департамента аудиторских услуг

ЗАО "КПМГ"