Документ утратил силу или отменен. Подробнее см. Справку
"Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" (введен в действие на территории Российской Федерации Приказом Минфина России от 09.01.2019 N 2н)

Особенности ручных и автоматизированных элементов системы внутреннего контроля, которые являются значимыми для оценки аудитором рисков

A61. Система внутреннего контроля организации содержит ручные элементы и во многих случаях - автоматизированные элементы. Особенности ручных или автоматизированных элементов являются значимыми для оценки аудитором рисков и для дальнейших аудиторских процедур, основанных на этой оценке.

A62. Использование ручных или автоматизированных элементов в системе внутреннего контроля также влияет на порядок инициирования, учета, обработки операций и отражения их в отчетности.

- Средства контроля в ручной системе могут включать такие процедуры, как одобрение и проверка операций, сверка и последующие действия по результатам сверки. В качестве альтернативы организация может использовать автоматизированные процедуры для инициирования, учета, обработки операций и отражения их в отчетности, в этом случае записи в электронном виде заменяют бумажные документы.

- Средства контроля в автоматизированных информационных системах представляют собой сочетание автоматизированных средств контроля (например, средства контроля, встроенные в компьютерные программы) и ручных средств контроля. Кроме того, ручные средства контроля могут быть независимыми от средств ИТ, могут использовать информацию, созданную информационной системой, либо ограничиваться мониторингом эффективности функционирования ИТ и автоматизированных средств контроля, а также обработкой нестандартных операций. Если ИТ используются для инициирования, записи, обработки операций, отражения их в отчетности или другой финансовой информации для включения в финансовую отчетность, системы и программы могут включать средства контроля в отношении связанных с ними предпосылок по существенным счетам или играть важную роль в эффективном функционировании ручных средств контроля, зависящих от применения ИТ.

Сочетание используемых организацией ручных и автоматизированных элементов внутреннего контроля зависит от характера и сложности применяемых организацией ИТ.

A63. Обычно ИТ помогают системе внутреннего контроля организации, поскольку они дают организации возможность:

- последовательно применять заранее установленные правила ведения бизнеса и выполнять сложные расчеты при обработке больших объемов операций или данных;

- обеспечивать своевременность и наличие информации, повышать ее точность;

- способствовать дополнительному анализу информации;

- расширять возможность мониторинга осуществления деятельности организации и выполнения ее политик и процедур;

- снижать риск обхода средств контроля;

- расширять возможность эффективного разделения обязанностей посредством внедрения средств контроля за безопасностью в прикладные программы, базы данных и операционные системы.

A64. ИТ также создают специфические риски системы внутреннего контроля организации, например:

- зависимость от систем или программ, которые неточно обрабатывают данные, обрабатывают неточные данные либо делают то и другое одновременно;

- несанкционированный доступ к данным, что может вызвать уничтожение данных или ненадлежащие изменения в данных, включая отражение несанкционированных или несуществующих операций или неточное отражение операций. Такие риски могут возникать, если к общей базе данных имеет доступ большое количество пользователей;

- возможность получения персоналом ИТ-отдела прав доступа, превышающих необходимые права доступа для выполнения их обязанностей, что нарушает порядок разделения обязанностей;

- несанкционированные изменения данных в основных файлах;

- несанкционированные изменения систем или программ;

- неспособность внесения необходимых изменений в системы или программы;

- ненадлежащее ручное вмешательство;

- возможная потеря данных или неспособность получить необходимый доступ к данным.

A65. Ручные элементы системы внутреннего контроля могут оказаться более подходящими в случае, когда требуется формирование суждения и принятие решений, например, в следующих ситуациях:

- крупные, необычные или нерегулярные операции;

- обстоятельства, при которых сложно выявить, предвидеть или предсказывать ошибки;

- при изменении обстоятельств, когда требуется реагирование со стороны средств контроля, выходящее за рамки существующего автоматизированного контроля;

- при мониторинге эффективности автоматизированных средств контроля.

A66. Ручные элементы в системе внутреннего контроля могут оказаться менее надежными в сравнении с автоматизированными, так как их легче обойти, проигнорировать или преодолеть и они более подвержены простым ошибкам. Поэтому нельзя исходить из предположения, что ручные элементы системы контроля применяются последовательно. Ручные элементы системы контроля могут оказаться менее подходящими в следующих случаях:

- большой объем операций или повторяющиеся операции либо ситуации, когда ошибки, которые можно предсказать или прогнозировать, могут быть предотвращены или обнаружены и исправлены при помощи автоматизированных элементов контроля;

- контрольные действия, при которых конкретные способы осуществления контроля могут быть адекватно разработаны и автоматизированы.

A67. Масштаб и характер рисков, связанных с системой внутреннего контроля, меняются в зависимости от особенностей информационной системы организации. Организация принимает меры в ответ на риски, связанные с использованием ИТ или ручных элементов в системе внутреннего контроля, посредством создания эффективных средств контроля с учетом особенностей информационной системы.

Разделение системы внутреннего контроля на компоненты Средства контроля, значимые для аудита