Действующий

Международный стандарт аудита 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения"

Приложение 5
(см. пункты 25(a), 26(b)-(c), А94, А166-А172)

     

     Вопросы для рассмотрения при получении понимания в отношении информационных технологий (ИТ)



В настоящем приложении представлены дополнительные вопросы, которые аудитор может рассмотреть при получении понимания того, как организация использует ИТ в своей системе внутреннего контроля.

Изучение использования организацией информационных технологий в компонентах системы внутреннего контроля

1. Система внутреннего контроля организации содержит осуществляемые вручную и автоматизированные элементы (то есть применяемые вручную и автоматизированные средства контроля и другие ресурсы, используемые в системе внутреннего контроля организации). Сочетание осуществляемых вручную и автоматизированных элементов в организации зависит от характера и сложности используемых организацией ИТ. Использование организацией ИТ влияет на то, как обрабатывается, хранится и передается информация, имеющая значение для составления финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, и, следовательно, оказывает воздействие на разработку и внедрение системы внутреннего контроля организации. ИТ могут в той или иной степени использоваться в каждом компоненте системы внутреннего контроля организации.

В целом ИТ обеспечивают преимущества системе внутреннего контроля, позволяя организации:

последовательно применять заранее определенные правила ведения деятельности и выполнять сложные расчеты при обработке больших объемов операций или данных;

повышать точность, доступность и своевременность предоставления информации;

обеспечивать проведение дополнительного анализа информации;

расширять возможности по мониторингу ее деятельности и выполнения политики и процедур;

снижать риск обхода средств контроля;

расширять возможности достижения эффективного разделения должностных обязанностей путем внедрения средств контроля безопасности в ИТ-приложения, базы данных и операционные системы.

2. Характеристики осуществляемых вручную или автоматизированных элементов имеют значение для выявления и оценки аудитором рисков существенного искажения и проведения на их основе дальнейших аудиторских процедур. Автоматизированные средства контроля могут быть надежнее, чем средства контроля, осуществляемые вручную, так как их нельзя легко обойти, оставить без внимания или преодолеть, кроме того, они менее подвержены простым ошибкам и погрешностям. Автоматизированные средства контроля могут быть эффективнее, чем средства контроля, применяемые вручную, в следующих обстоятельствах:

при наличии большого объема повторяющихся операций или в ситуациях, когда ошибки, которые можно ожидать или прогнозировать, могут быть предотвращены или выявлены и исправлены за счет автоматизации;

при наличии средств контроля, когда определенный порядок осуществления контроля может быть соответствующим образом организован и автоматизирован.

Получение понимания в отношении использования организацией информационных технологий в информационной системе (см. пункт 25(a))

3. Информационная система организации может предусматривать использование осуществляемых вручную и автоматизированных элементов, которые также влияют на то, как операции инициируются, учитываются, обрабатываются и отражаются в отчетности. В частности, процедуры инициирования, учета, обработки и отражения операций в отчетности могут регламентироваться ИТ-приложениями, используемыми организацией, и тем, каким образом организация настроила эти приложения. Кроме того, записи в форме цифровой информации могут заменять или дополнять записи, выполненные в форме документов на бумажном носителе.

4. При получении понимания ИТ-среды, относящейся к потокам операций и обработке информации в информационной системе, аудитор собирает информацию о характере и характеристиках используемых ИТ-приложений, а также вспомогательной ИТ-инфраструктуры и информационных технологий. В таблицу ниже включены примеры вопросов, которые аудитор может рассмотреть при изучении среды информационных технологий, и примеры типичных характеристик среды информационных технологий, учитывающие сложность ИТ-приложений, используемых в информационной системе организации. Однако такие характеристики являются ориентировочными и могут различаться в зависимости от характера определенных ИТ-приложений, используемых организацией.

Примеры типичных характеристик

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

Вопросы, относящиеся к уровню автоматизации и использованию данных

Объем автоматизированных процедур обработки и сложность этих процедур, в том числе в случае высокоавтоматизированных средств, безбумажной обработки

Неприменимо

Неприменимо

Расширенные и зачастую сложные автоматизированные процедуры

Уровень использования организацией сформированных системой отчетов при обработке информации

Логика простого автоматизированного отчета

Логика применимого простого автоматизированного отчета

Логика сложного автоматизированного отчета; программное обеспечение генератора отчетов

Как осуществляется ввод данных (то есть ввод вручную, ввод клиентом или продавцом или загрузка файла)

Ввод данных вручную

Ввод небольшого количества данных или простые интерфейсы

Ввод большого количества данных или сложные интерфейсы

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

Как ИТ обеспечивают взаимодействие между приложениями, базами данных или другими аспектами ИТ-среды через интерфейсы системы внутри и вне организации в зависимости от обстоятельств

Автоматизированные интерфейсы отсутствуют (ввод только вручную)

Ввод небольшого количества данных или простые интерфейсы

Ввод большого количества данных или сложные интерфейсы

Объем и сложность данных в цифровой форме, обрабатываемых информационной системой, в том числе хранятся ли данные бухгалтерского учета и другая информация в цифровой форме, и место хранения данных

Небольшой объем данных или простые данные, которые можно проверить вручную; наличие данных на локальном уровне

Небольшой объем данных или простые данные

Большой объем данных или сложные данные; хранилища данных, использование внутренних или внешних провайдеров ИТ-услуг (например, хранение или хостинг данных сторонними организациями)

Вопросы, относящиеся к ИТ-приложениям и ИТ-инфраструктуре

Тип приложения (например, коммерческое приложение с небольшой адаптацией или без нее или значительно адаптированное или высокоинтегрированное приложение, которое может быть приобретено и адаптировано или разработано самостоятельно

Приобретенное приложение с небольшой адаптацией или без нее

Приобретенное приложение или простые приложения системы управления предприятием прежних версий или начального уровня с небольшой адаптацией или без нее

Специально разработанные приложения или более сложные системы управления предприятием со значительной адаптацией

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

Сложный характер ИТ-приложений и базовой ИТ-инфраструктуры

Небольшой простой портативный компьютер или решение на основе модели клиент-сервер

Эффективный и стабильный базовый компьютер, небольшой или простой клиентский сервер, программное обеспечение в форме сервисного облака

Сложный базовый компьютер, большой или сложный клиентский сервер с выходом в интернет, инфраструктура в форме сервисного облака

Используется ли сторонний хостинг или аутсорсинг ИТ

При передаче в аутсорсинг привлекается компетентный, опытный, надежный провайдер (например, провайдер облачных вычислений)

При передаче в аутсорсинг привлекается компетентный, опытный, надежный провайдер (например, провайдер облачных вычислений)

Компетентный, опытный, надежный провайдер для некоторых приложений и новый или вновь созданный провайдер для других приложений

Использует ли организация новые технологии, которые влияют на составление ее финансовой отчетности

Новые технологии не используются

Новые технологии используются в ограниченном объеме в некоторых приложениях

Комплексное использование новых технологий на разных платформах

Вопросы, относящиеся к ИТ-процессам

Персонал, участвующий в обслуживании ИТ-среды (численность и уровень квалификации ресурсов по ИТ-поддержке, которые обеспечивают безопасность и внесение изменений в ИТ-среду)

Несколько сотрудников с ограниченным знанием ИТ для обработки обновлений поставщика и управления доступом

Ограниченное число сотрудников с навыками использования ИТ/специали-
зирующихся в области ИТ

Специальные ИТ-отделы с квалифицированным персоналом, включая программистов

Сложность процессов по управлению правами доступа

Один сотрудник, имеющий доступ с правами администратора, для управления правами доступа

Несколько сотрудников, имеющих доступ с правами администратора, для управления правами доступа

Сложные процессы управления правами доступа, регламентируемые ИТ-отделом

Сложность системы безопасности ИТ-среды,*

Простой локальный доступ без внешних*

Несколько приложений на основе веб-технологий с*

Большое число платформ с доступом на основе веб-технологий*

________________
     * Текст документа соответствует оригиналу - Примечание изготовителя базы данных.

     

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

Включая чувствительность ИТ-приложений, баз данных и других аспектов ИТ-среды к киберрискам, особенно в случаях, когда проводятся операции с использованием веб-технологий или внешних интерфейсов

*элементов с выходом в интернет

*преимущественно простой системой безопасности, построенной на основе ролей

*и сложные модели безопасности

________________
     * Текст документа соответствует оригиналу - Примечание изготовителя базы данных.



Вносились ли изменения в программы в отношении метода обработки информации, и объем таких изменений в течение периода

Коммерческое программное обеспечение без установки исходного кода программы

Некоторые коммерческие приложения без исходного кода и другие более совершенные приложения с несколькими или простыми изменениями, традиционный жизненный цикл разработки систем

Новые изменения, их большое количество или высокая сложность, несколько циклов разработки в течение каждого года

Объем изменений в ИТ-среде (например, новые аспекты ИТ-среды или значительные изменения в ИТ-приложениях или базовой ИТ-инфраструктуре)

Изменения ограничиваются обновлением версий коммерческого программного обеспечения

Изменения включают обновление коммерческого программного обеспечения, версий системы управления предприятием или доработку существующих программ

Новые изменения, их большое количество или высокая сложность, несколько циклов разработки в течение каждого года, значительная адаптация системы управления предприятием

Проводилось ли значительное преобразование данных в течение периода и, если это так, каковы характер и значение внесенных изменений и способ проведения преобразования

Обновления программного обеспечения, предоставляемые поставщиком; отсутствие функционала по преобразованию данных для обновления

Небольшие обновления версии коммерческих программных приложений с ограниченным преобразованием данных

Значительное обновление версий, выпуск новых версий, изменение платформ

________________

Хранилище данных обычно определяется как центральный репозиторий интегрированных данных из одного или нескольких различных источников (например, большого количества баз данных), на основе которых могут формироваться отчеты или которые могут использоваться организацией для осуществления другой деятельности по анализу данных. Генератор отчетов - это ИТ-приложение, которое используется для извлечения данных из одного или нескольких источников (таких как хранилище данных, база данных или ИТ-приложение) и представления данных в определенном формате.

Новые технологии

5. Организации могут использовать новые технологии (например, блокчейн, робототехнику или искусственный интеллект), так как такие технологии могут открывать определенные возможности для повышения операционной эффективности или усовершенствования процесса составления финансовой отчетности. При использовании новых технологий в информационной системе организации, относящейся к подготовке финансовой отчетности, аудитор может рассматривать такие технологии в процессе выявления ИТ-приложений и других аспектов ИТ-среды, которые подвергаются рискам, возникающим в связи с использованием информационных технологий. Хотя новые технологии могут считаться более сложными или более совершенными по сравнению с существующими технологиями, обязанности аудитора в отношении ИТ-приложений и выявленных общих средств ИТ-контроля согласно пунктам 26(b)-(c) остаются неизменными.

Масштабируемость

6. Получение понимания ИТ-среды организации может требовать меньше усилий в случае менее сложной организации, которая использует коммерческое программное обеспечение, когда у организации нет доступа к исходному коду программы для внесения в нее изменений. Такие организации могут не иметь специальных ИТ-ресурсов, но у них может быть сотрудник, выполняющий функции администратора, для целей предоставления персоналу доступа или установки обновлений ИТ-приложений, предоставляемых поставщиком. Конкретные вопросы, которые аудитор может рассмотреть в рамках изучения характера пакета коммерческого программного обеспечения по бухгалтерскому учету, который может представлять собой одно ИТ-приложение, используемое в информационной системе менее сложной организации, могут включать следующие:

насколько общепризнанным является программное обеспечение и имеет ли оно репутацию надежного;