13. Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.
14. Обычно контрольные действия, которые могут иметь отношение к целям аудита, могут быть сгруппированы по следующим категориям методов и процедур:
а) проверка выполнения.
Такие контрольные действия включают:
обзорные проверки и анализ фактических показателей в сравнении со сметными и прогнозными показателями;
обзорные проверки и анализ фактических показателей в сравнении с показателями за предыдущие периоды;
соотнесение между собой различных данных (управленческих и финансовых), анализ их соответствия, выводы об обнаруженных расхождениях и предпринимаемые в этих случаях корректирующие действия;
сопоставление внутренних данных со сведениями, полученными из внешних источников информации;
проверка результатов деятельности по областям, подразделениям, направлениям и т.п.;
б) обработка информации.
Разнообразные контрольные процедуры в части обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля:
общие средства контроля;
прикладные средства контроля.
Общие средства контроля в информационных системах представляют собой политику и процедуры, которые имеют широкие области применения и предназначены для обеспечения эффективного функционирования прикладных средств контроля, помогая удостовериться в правильном бесперебойном функционировании информационных систем. Общие средства контроля за информационной системой обычно включают средства контроля в отношении:
операций информационного центра и компьютерной сети;
приобретения программного обеспечения для операционной системы, его изменения и обслуживания;
защиты от несанкционированного доступа;
приобретения, развития и обслуживания прикладных программ информационных систем.
Такие средства контроля применимы к универсальным компьютерам, мини-компьютерам и вычислительным машинам конечных пользователей в локальных сетях. Примерами таких общих средств контроля являются:
средства контроля за изменением программного обеспечения;
средства контроля, которые ограничивают доступ к программному обеспечению или базам данных;
средства контроля за реализацией новых версий прикладных пакетов программного обеспечения;
средства контроля за программным обеспечением систем, которые ограничивают доступ к сервисным программам системы или обеспечивают фиксацию того, кто, когда и какие изменения в данную систему внес.
Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы, в полном объеме и точно зафиксированы и обработаны.
Примерами прикладных средств контроля являются:
проверка арифметической точности бухгалтерских записей;
ведение учета и обзорная проверка счетов, составление оборотных ведомостей;
такие автоматизированные процедуры контроля, как тестирование компьютером вводимых данных или контроль сквозной нумерации с последующей выдачей персоналу, выполняющему учетные функции, сообщений или справок о выявленных несоответствиях, что предполагает исправление таких ошибок в момент ввода либо впоследствии;