"Международный стандарт аудита 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения" (введен в действие на территории Российской Федерации Приказом Минфина России от 27.10.2021 N 163н) (ред. от 16.10.2023) (с изм. и доп.,...

Масштабируемость

A170. Степень понимания аудитором ИТ-процессов, в том числе объема внедрения организацией общих средств ИТ-контроля, будет различаться в зависимости от характера и обстоятельств организации и ее ИТ-среды, а также в зависимости от характера и объема средств контроля, выявленных аудитором. Количество ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ, также будет варьироваться в зависимости от данных факторов.

	Примеры

	-	Маловероятно, чтобы в организации, которая использует коммерческое программное обеспечение и не располагает доступом к исходному коду для внесения каких-либо программных изменений, имелся процесс для внесения программных изменений, однако может существовать процесс или процедуры для конфигурации программного обеспечения (например, план счетов, параметры отчетности или пороговые значения). Кроме того, в организации может иметься процесс или процедуры управления доступом к приложению (например, назначенное лицо, имеющее административный доступ к коммерческому программному обеспечению). При таких обстоятельствах маловероятно, чтобы у организации были (или чтобы ей требовались) формализованные общие средства ИТ-контроля.
	-	В отличие от этого, более крупные организации могут полагаться в значительной степени на информационные технологии, и ИТ-среда может включать многочисленные ИТ-приложения, а ИТ-процессы для управления ИТ-средой могут быть сложными (например, существует специально сформированный ИТ-отдел, который разрабатывает и внедряет программные изменения и управляет правами доступа), включая то, что организация внедрила формализованные общие средства ИТ-контроля в отношении ИТ-процессов.
	-	Если руководство не полагается на автоматизированные средства контроля или общие средства ИТ-контроля для обработки операций или хранения данных и аудитор не выявил каких-либо автоматизированных средств контроля или иных средств контроля обработки информации (или каких-либо средств контроля, которые полагаются на общие средства ИТ-контроля), аудитор может планировать непосредственное тестирование информации, подготовленной организацией с использованием ИТ, и может не выявить какие-либо ИТ-приложения, которые подвергаются рискам, возникающим вследствие использования ИТ.
	-	Если руководство полагается на ИТ-приложение для обработки или хранения данных и объем данных является значительным, при этом руководство полагается на ИТ-приложение для осуществления автоматизированных средств контроля, которые аудитор также выявил, ИТ-приложение с большой вероятностью будет подвержено рискам, возникающим вследствие использования ИТ.

КонсультантПлюс: примечание.

Нумерация пунктов дана в соответствии с официальным текстом документа.

A171. A171. Если в организации более сложная ИТ-среда, для выявления ИТ-приложений и других аспектов ИТ-среды, определения связанных рисков, возникающих вследствие использования ИТ, и выявления общих средств ИТ-контроля, скорее всего, потребуется участие членов аудиторской группы, обладающих специальной квалификацией в области ИТ. Такое участие с большой вероятностью будет необходимым и в условиях сложной среды информационных технологий, возможно, будет значительным.

Выявление ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ Выявление прочих аспектов ИТ-среды, которые подвержены рискам, возникающим вследствие использования ИТ