Характер и степень единства средств контроля (см. пункт 30(c)(i))

A96. Руководство группы может разработать средства контроля, которые предназначены для единообразного функционирования во многих организациях или подразделениях (то есть единые средства контроля). Например, руководство группы может разработать единые средства контроля для управления запасами, которые при функционировании будут использовать единую ИТ-систему и которые будут внедрены во всех организациях или подразделениях группы. Единые средства контроля могут иметься в каждом компоненте системы внутреннего контроля группы, и они могут быть реализованы на разных уровнях в рамках группы (например, на уровне консолидированной группы в целом или на других уровнях агрегации в рамках группы). Единые средства контроля могут быть прямыми или косвенными. Прямые средства контроля - это средства контроля, которые являются достаточно точными для снижения рисков существенного искажения на уровне предпосылок. Косвенные средства контроля - это средства контроля, которые поддерживают функционирование прямых средств контроля <73>.

--------------------------------

<73> МСА 315 (пересмотренный, 2019 г.), пункт 5.

A97. Понимание компонентов системы внутреннего контроля группы включает понимание единства средств контроля внутри этих компонентов в рамках группы. Вопросы, которые могут быть значимыми для понимания единства средства контроля в рамках группы, включают следующие:

- разработано ли средство контроля централизованно и имеется ли требование его внедрить в том виде, в котором оно разработано (то есть без модификации) во всех или некоторых компонентах;

- внедрено ли средство контроля и проводится ли (в соответствующих случаях) сотрудниками со сходными обязанностями и компетенциями мониторинг его функционирования во всех компонентах, в которых данное средство контроля внедрено;

- если при функционировании средства контроля используется информация, получаемая из ИТ-приложений, то являются ли сходными ИТ-приложения и другие аспекты ИТ-среды, которые генерируют информацию, в рамках компонентов или территориальных подразделений;

- если средство контроля является автоматизированным, то одинакова ли его конфигурация в каждом ИТ-приложении в рамках компонентов.

A98. Для того чтобы определить, относится ли средство контроля к категории единых средств контроля, во многих случаях может требоваться суждение. Например, руководство группы может потребовать, чтобы все организации и подразделения группы выполняли ежемесячную оценку дебиторской задолженности по срокам погашения, отчет по которой формируется конкретным ИТ-приложением. Если отчеты по срокам погашения формируются на основе данных, получаемых из разных ИТ-приложений, или ИТ-приложение внедрено по-разному в организациях или подразделениях, может потребоваться рассмотреть вопрос о том, относится ли данное средство контроля к категории единых средств контроля. Это связано с различиями в структуре средства контроля, которые могут возникать из-за наличия разных ИТ-приложений (например, сконфигурировано ли ИТ-приложение одинаково во всех компонентах и имеются ли эффективные общие средства ИТ-контроля в разных ИТ-приложениях).

A99. Для того чтобы понять, как информация обрабатывается и контролируется, может быть важно рассмотреть вопрос о том, на каком уровне применяются средства контроля внутри группы (например, на уровне консолидированной группы в целом или на других уровнях агрегации внутри группы) и какова степень их централизации и единства. В некоторых случаях средства контроля могут применяться централизованно (например, только в одной организации или одном подразделении), но могут оказывать всеобъемлющее влияние на другие организации или подразделения (например, в общем центре обслуживания, который обрабатывает операции в интересах других организаций или подразделений группы). Обработка операций и применение соответствующих средств контроля в общем центре обслуживания могут быть унифицированы для данных операций, обрабатываемых в общем центре обслуживания, независимо от организации или подразделения (например, процессы, риски и средства контроля могут быть одинаковыми независимо от источника операции). В таких случаях, возможно, целесообразно выявить средства контроля, оценить их структуру и установить, как они были внедрены, а также (в соответствующих случаях) протестировать их на предмет операционной эффективности как единую совокупность.