A28. Когда необходимы более убедительные аудиторские доказательства в отношении операционной эффективности того или иного средства контроля, может оказаться целесообразным увеличить объем тестирования такого средства контроля. Помимо степени, в которой аудитор планирует полагаться на средства контроля, при определении объема тестирования средств контроля он может рассмотреть следующие факторы:
- частота применения организацией данного средства контроля в течение периода;
- длительность промежутка времени в ходе аудита, в течение которого аудитор полагается на операционную эффективность данного средства контроля;
- ожидаемая частота некорректного функционирования средства контроля;
- уместность и надежность аудиторских доказательств, которые необходимо получить в отношении операционной эффективности данного средства контроля на уровне предпосылок;
- объем аудиторских доказательств, полученных в отношении той же предпосылки путем тестирования других средств контроля.
МСА 530 <32> содержит дополнительные рекомендации в отношении объема тестирования.
--------------------------------
<32> МСА 530 "Аудиторская выборка".
A29. Вследствие более высокой надежности обработки данных средствами ИТ может не потребоваться увеличение объема тестирования автоматизированных средств контроля. Можно ожидать, что автоматизированное средство контроля будет работать последовательно, если только [программа] #ИТ-приложение# (включая таблицы, файлы или прочие постоянные данные, используемые [программой] ИТ-приложением) не будет изменено. Если аудитор установил, что автоматизированное средство контроля работает должным образом (в момент внедрения средства контроля или на иную дату), он может рассмотреть вопрос о проведении тестирования для определения того, что данное средство контроля продолжает работать эффективно. Такое тестирование может включать #тестирование общих средств контроля информационных технологий, связанных с ИТ-приложением# [определение того, что:]
[никакие изменения не вносятся в программу без применения по отношению к ним надлежащих средств контроля за изменениями программы;]
[для обработки операций используется авторизованная версия программы;]
[иные соответствующие общие средства контроля являются эффективными.]
[Такое тестирование также может включать определение того, что никакие изменения в программы не вносились, что обычно происходит, когда организация пользуется пакетным программным обеспечением, не модифицируя или не поддерживая его. Например, аудитор может проверить записи администратора, отвечающего за безопасность ИТ, чтобы получить аудиторские доказательства отсутствия несанкционированного доступа в течение определенного периода.]
A29a. #Аудитор также может выполнить тесты средств контроля в ответ на риски существенного искажения в отношении целостности данных организации или полноты и точности отчетов, сформированных системой, или в ответ на риски существенного искажения, для которых процедуры проверки по существу в отдельности не могут обеспечить достаточные надлежащие аудиторские доказательства. Такие тесты средств контроля могут включать тесты общих средств ИТ-контроля, которые направлены на решение вопросов, указанных в пункте 10(a). В этом случае аудитору может не потребоваться выполнение последующего тестирования для получения аудиторских доказательств в отношении вопросов, указанных в пункте 10(a).#
A29b. #Когда аудитор определяет, что общие средства ИТ-контроля являются недостаточными, он может рассмотреть характер соответствующего риска или рисков, возникающих вследствие использования ИТ, которые были выявлены в соответствии с МСА 315 (пересмотренным, 2019 г.) <33>, чтобы обеспечить основу для разработки дополнительных процедур аудитора в ответ на оцененный риск существенного искажения. Такие процедуры могут относиться к определению того:#
--------------------------------
#<33> #МСА 315 (пересмотренный#, 2019 г.#), #пункт 26(c)(i).#
- #возник ли соответствующий риск или риски, связанные с использованием ИТ. Например, если пользователи имеют несанкционированный доступ к ИТ-приложению (но не могут получить доступ к системным журналам, в которых отслеживается доступ, или внести в них изменения), аудитор может провести инспектирование системных журналов, чтобы получить аудиторские доказательства того, что эти пользователи не использовали доступ к ИТ-приложению в течение периода;#
- #имеются ли резервные или дублирующие общие средства ИТ-контроля или иные средства контроля, которые реагируют на соответствующий риск или риски, возникающие вследствие использования ИТ. Если это так, аудитор может выявить такие средства контроля (если они уже не выявлены) и, следовательно, оценить их структуру, определить факт их внедрения и провести тестирование их операционной эффективности. Например, если общее средство ИТ-контроля, относящееся к пользовательскому доступу, является недостаточным, организация может иметь резервное средство контроля, предусматривающее своевременное проведение руководством ИТ-отдела проверок отчетов о доступе конечных пользователей. Обстоятельства, когда прикладное средство контроля может рассматриваться отвечающим на риск, возникающий в результате его использования, могут относится к ситуации, когда информация, которая может быть затронута общим недостатками ИТ-контроля, может быть сверена с внешними источниками (например, банковская выписка) или внутренними источниками, не затронутыми таким общим недостатком ИТ-контроля (например, отдельное ИТ-приложение или источник данных).#
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей