8. Изучая характер и сложность ИТ-среды, включая характер и уровень средств контроля обработки информации, аудитор может определить, на какие ИТ-приложения полагается организация в части точной обработки и сохранения целостности финансовой информации. Выявление ИТ-приложений, на которые полагается организация, может повлиять на решение аудитора по тестированию автоматизированных средств контроля, используемых в таких ИТ-приложениях, с учетом того, что такие автоматизированные средства контроля реагируют на выявленные риски существенного искажения. Напротив, если организация не полагается на ИТ-приложение, автоматизированные средства контроля, используемые в таком ИТ-приложении, вряд ли являются надлежащими или достаточно точными для целей тестирования операционной эффективности. Автоматизированные средства контроля, которые могут быть выявлены согласно пункту 26(b), могут включать, например, автоматизированные расчеты или средства контроля за вводом, обработкой и выводом данных, такие как тройное сопоставление заказа на закупки, грузового документа поставщика и счета поставщика. Когда аудитор выявляет автоматизированные средства контроля и определяет путем изучения ИТ-среды, что организация полагается на ИТ-приложение, которое включает такие автоматизированные средства контроля, аудитор с большей вероятностью будет рассматривать это ИТ-приложение как подверженное рискам, возникающим вследствие использования ИТ.
9. При определении подверженности ИТ-приложений, для которых аудитор выявил автоматизированные средства контроля, рискам, возникающим вследствие использования ИТ, аудитор, по всей вероятности, рассмотрит вопрос о том, может ли организация иметь доступ к исходному коду, позволяющему руководству вносить изменения в программу в отношении таких средств контроля или ИТ-приложений, и в каком объеме. Также может быть уместно рассмотреть объем изменений, которые организация вносит в программу или конфигурацию, а также то, насколько формализованы ИТ-процессы в отношении таких изменений. Аудитор также, по всей вероятности, рассмотрит риск ненадлежащего доступа к данным или внесения в них ненадлежащих изменений.
10. Сформированные системой отчеты, которые аудитор может планировать использовать в качестве аудиторских доказательств, могут включать, например, отчет об анализе торговой дебиторской задолженности по срокам возникновения или отчет об оценке запасов. Для таких отчетов аудитор может получить аудиторские доказательства в отношении полноты и точности отчетов путем тестирования по существу входных и выходных данных отчета. В иных случаях аудитор может планировать тестирование операционной эффективности средств контроля за подготовкой и корректировкой отчета, и тогда ИТ-приложение, с помощью которого он был сформирован, по всей вероятности, будет подвержено рискам, возникающим вследствие использования ИТ. В дополнение к тестированию полноты и точности отчета, аудитор может планировать тестирование операционной эффективности общих средств ИТ-контроля, которые реагируют на риски, связанные с внесением ненадлежащих или несанкционированных изменений в программу или данных в отчет.
11. Некоторые ИТ-приложения могут иметь функционал генератора отчетов, тогда как некоторые организации также могут использовать отдельные приложения, создающие отчеты (то есть генераторы отчетов). В таких случаях аудитору может потребоваться определить источники отчетов, формируемых системой (то есть приложение, которое подготавливает отчет, и источники данных, используемые в отчете), чтобы решить, подвержены ли ИТ-приложения рискам, возникающим вследствие использования ИТ.
12. Источники данных, используемые ИТ-приложениями, могут представлять собой базы данных, которые, например, доступны только через ИТ-приложение или для сотрудников ИТ-отдела, имеющих права администратора базы данных. В иных случаях источником данных может быть хранилище данных, которое может само рассматриваться как ИТ-приложение, подверженное рискам, возникающим вследствие использования ИТ.
13. Аудитор мог выявить риск, для которого выполнение только процедур проверки по существу недостаточно по причине использования организацией высокоавтоматизированной и безбумажной обработки операций, которая может требовать применения большого числа интегрированных ИТ-приложений. В таких обстоятельствах средства контроля, выявленные аудитором, по всей вероятности, будут включать автоматизированные средства контроля. Кроме того, организация может полагаться на общие средства ИТ-контроля в целях обеспечения целостности обрабатываемых операций и иной информации, используемой в процессе обработки. В таких случаях ИТ-приложения, применяемые для обработки и хранения информации, по всей вероятности, будут подвергаться рискам, возникающим вследствие использования ИТ.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей