Международный стандарт аудита 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения"
Приложение 6
(см. пункты 25(c)(ii), А173-А174)
Вопросы для рассмотрения при получении понимания в отношении общих средств ИТ-контроля
В данном приложении рассматриваются дополнительные вопросы, которые аудитор может рассмотреть при получении понимания в отношении общих средств ИТ-контроля.
1. Характер общих средств ИТ-контроля, обычно используемых для каждого из аспектов ИТ-среды.
(a) Приложения
Общие средства ИТ-контроля на уровне ИТ-приложения будут соответствовать характеру и объему функционала приложения, а также путям доступа, разрешенным технологией. Например, для высокоинтегрированных ИТ-приложений со сложными параметрами безопасности будет актуально больше средств контроля, чем для устаревшего ИТ-приложения, обрабатывающего небольшое количество остатков по счетам с применением метода доступа путем использования операций.
(b) База данных
Общие средства ИТ-контроля на уровне базы данных обычно реагируют на риски, возникающие вследствие использования ИТ в связи с несанкционированным обновлением информации для финансовой отчетности в базе данных посредством прямого доступа к базе данных или выполнения сценария или программы.
(c) Операционная система
Общие средства ИТ-контроля на уровне операционной системы обычно реагируют на риски, возникающие вследствие использования ИТ в части административного доступа, что может способствовать обходу других средств контроля. Это включает такие действия, как получение несанкционированного доступа к учетным данным другого пользователя, добавление новых, несанкционированных пользователей, загрузка вредоносного программного обеспечения или выполнение сценариев или других несанкционированных программ.
(d) Сеть
Общие средства ИТ-контроля на уровне сети обычно реагируют на риски, возникающие вследствие использования ИТ в отношении сегментации сети, удаленного доступа и аутентификации. Сетевые средства контроля могут быть применимыми в случаях, когда у организации имеются приложения с выходом в интернет, используемые при составлении финансовой отчетности. Сетевые средства контроля также могут быть уместными в случаях, когда организация имеет значительные отношения с партнерами по бизнесу или операции, переданные на аутсорсинг третьим лицам, что может привести к увеличению объема передаваемых данных и необходимости удаленного доступа.
2. Примеры существующих общих средств ИТ-контроля, сгруппированных по ИТ-процессам, следующие.
(a) Процесс управления доступом:
Аутентификация
Средства контроля, которые обеспечивают доступ пользователя к ИТ-приложению или другому аспекту ИТ-среды, предусматривают использование собственных учетных данных пользователя (то есть пользователь не использует учетные данные другого пользователя).
Авторизация
Средства контроля, которые позволяют пользователям получить доступ к информации, необходимой исключительно для выполнения их должностных обязанностей, что способствует надлежащему разделению должностных обязанностей.
Инициализация
Средства контроля, авторизующие новых пользователей и изменения в правах доступа существующих пользователей.
Деинициализация
Средства контроля, отзывающие права доступа пользователя после прекращения трудового договора или перевода.
Привилегированный доступ
Средства контроля за доступом администраторов или ключевых пользователей.
Проверки пользовательского доступа
Средства контроля, предусматривающие повторную сертификацию или оценку пользовательского доступа для продолжения авторизации в течение продолжительного периода.
Средства контроля за настойками безопасности
Как правило, в каждой технологии предусмотрены основные параметры настойки, которые помогают ограничить доступ к среде.