9. Обычно контрольные действия, которые могут оказаться значимыми для проводимого аудита, классифицируются как политика и процедуры, регламентирующие ряд вопросов:
Обзоры результатов деятельности. Эти контрольные действия включают обзор и анализ фактических результатов в сравнении с бюджетом, прогнозами и результатами прошедшего периода; определение взаимосвязи между разными видами данных, операционными и финансовыми, анализ этих взаимосвязей, а также исследование и внесение корректировок; сравнение внутренних данных с внешними источниками информации; обзор результатов в разрезе функций или видов деятельности.
Обработка информации. К двум большим группам контрольных действий в отношении информационных систем относятся прикладные средства контроля, которые применяются в отношении обработки данных отдельными приложениями, и общие средства контроля за ИТ-системами, которые представляют собой политику и процедуры, связанные со многими приложениями и поддерживающие эффективное функционирование средств контроля за приложениями посредством обеспечения надлежащей работы информационной системы. Примерами средства контроля приложений являются проверка математической точности записей, ведение и проверка счетов и оборотно-сальдовых ведомостей, автоматизированные средства контроля, такие как контрольные проверки вводимых данных и проверка сквозной нумерации, а также принимаемые в ручном режиме меры по результатам отчетов об отклонениях. Примеры общих средств контроля за ИТ-системами включают средства контроля за изменениями программного обеспечения; средства контроля, ограничивающие доступ к программам или данным, средства контроля над внедрением новых версий пакетного программного обеспечения; средства контроля над системным программным обеспечением, ограничивающие доступ или осуществляющие мониторинг использования системных служебных программ, которые могут изменить финансовые данные или записи без возможности последующей проверки.
Физические средства контроля. Средства контроля, охватывающие:
физическую безопасность активов, включая надлежащие меры предосторожности, такие как устройства, регламентирующие доступ к активам и записям;
санкционирование доступа к компьютерным программам и файлам данных;
периодический пересчет и сравнение с суммами, указанными в контрольных записях (например, сравнение результатов инвентаризации денежных средств, ценных бумаг и запасов с данными бухгалтерского учета).
Степень значимости физических средств контроля, направленных на предотвращение хищения активов, для надежности подготовки финансовой отчетности и, следовательно, аудита, зависит от таких обстоятельств, как высокая подверженность активов присвоению.
Разделение должностных обязанностей. Назначение разных лиц для выполнения обязанностей по санкционированию операций, записи операций, обеспечению сохранности активов. Разделение должностных обязанностей направлено на снижение возможностей любого лица совершить или скрыть ошибки или недобросовестные действия в процессе выполнения им своих обязанностей.
10. Некоторые контрольные действия могут зависеть от существования соответствующей политики более высокого уровня, разработанной руководством организации или лицами, отвечающими за корпоративное управление. Например, контроль за санкционированием операций, таких как установление критериев инвестирования, может быть делегирован лицами, отвечающими за корпоративное управление, на основе соответствующих директив; напротив, нестандартные операции, такие как крупные приобретения или выбытие инвестиций, могут потребовать утверждения на более высоком уровне, в том числе в некоторых случаях - утверждения акционерами.