Технологические ресурсы

Технологические ресурсы (см. пункт 32(f))

A98. Технологические ресурсы, которые, как правило, представлены ИТ-приложениями, являются частью среды информационных технологий аудиторской организации. Кроме того, среда информационных технологий аудиторской организации включает вспомогательную ИТ-инфраструктуру, а также ИТ-процессы и человеческие ресурсы, вовлеченные в данные процессы.

- ИТ-приложение представляет собой программу или комплекс программ, разработанных с целью выполнения конкретной функции непосредственно для пользователя или, в некоторых случаях, для другой компьютерной программы.

- ИТ-инфраструктура включает ИТ-сеть, операционные системы, базы данных и соответствующие аппаратные средства и программное обеспечение.

- ИТ-процессы представляют собой процессы аудиторской организации, используемые для управления доступом к среде информационных технологий, внесением изменений в программы или в среду информационных технологий и для контроля за функционированием информационных технологий, что включает также мониторинг среды информационных технологий.

A99. Технологический ресурс может служить различным целям в рамках аудиторской организации, и некоторые цели могут быть не связаны с системой управления качеством. Технологические ресурсы, которые имеют значение для целей настоящего МСК, включают:

- технологические ресурсы, которые используются непосредственно при разработке, внедрении и функционировании системы управления качеством в аудиторской организации;

- технологические ресурсы, которые используются непосредственно рабочими группами при выполнении заданий;

- технологические ресурсы, которые являются существенными для обеспечения эффективного функционирования указанных выше технологических ресурсов, например ресурсов, относящихся к ИТ-приложению, ИТ-инфраструктуре и ИТ-процессам, поддерживающим ИТ-приложение.

Примеры масштабируемости, иллюстрирующие, как могут различаться технологические ресурсы, которые имеют значение для целей настоящего МСК

-

В менее сложных аудиторских организациях технологические ресурсы могут включать приобретенное у поставщика услуг коммерческое ИТ-приложение, используемое рабочими группами. ИТ-процессы, поддерживающие работу ИТ-приложения, также могут быть значимыми, хотя и простыми (например, процессы авторизации доступа к ИТ-приложению и обработке обновлений к ИТ-приложению).

-

В более сложных аудиторских организациях могут использоваться более сложные технологические ресурсы, которые могут включать:

--

несколько ИТ-приложений, в том числе специально разработанные приложения или приложения, разработанные сетью, в которую входит аудиторская организация, например:

---

ИТ-приложения, используемые рабочими группами (например, программное обеспечение, используемое для выполнения задания, и автоматизированные инструменты для проведения аудита);

---

ИТ-приложения, разработанные и используемые аудиторской организацией для управления различными аспектами системы управления качеством (например, ИТ-приложения для мониторинга соблюдения принципа независимости или выделения персонала для выполнения заданий);

--

ИТ-процессы, поддерживающие работу данных ИТ-приложений, в том числе лиц, ответственных за управление ИТ-инфраструктурой и ИТ-процессами, а также процессы, внедренные в аудиторской организации для управления внесением программных изменений в ИТ-приложения.

A100. Аудиторская организация может рассмотреть следующие вопросы при получении, разработке, внедрении и обеспечении функционирования ИТ-приложения:

- ввод данных осуществлен в полном объеме и надлежащим образом;

- обеспечивается конфиденциальность данных;

- ИТ-приложение функционирует по разработанной схеме и обеспечивает достижение цели, для которой оно предназначалось;

- результаты работы ИТ-приложения обеспечивают достижение цели, для которой они будут использоваться;

- общие средства ИТ-контроля, необходимые для поддержания непрерывного функционирования ИТ-приложения по разработанной схеме, являются надлежащими;

- потребность в специалистах, обладающих специальными знаниями и навыками для эффективного использования ИТ-приложения, включая обучение лиц, которые будут использовать ИТ-приложение;

- необходимость разрабатывать процедуры, устанавливающие надлежащий способ функционирования ИТ-приложения.

A101. Аудиторская организация может, в частности, запретить использование ИТ-приложений или их отдельных функций до тех пор, пока не будет установлено, что они работают надлежащим образом и были одобрены для использования аудиторской организацией. В ином случае аудиторская организация может установить политику или процедуры в отношении обстоятельств, при которых рабочая группа использует ИТ-приложение, не одобренное аудиторской организацией. Такая политика или процедуры могут требовать, чтобы рабочая группа определила пригодность ИТ-приложения для использования до его применения в рамках задания, рассмотрев вопросы, изложенные в пункте A100. В МСА 220 (пересмотренном) <18> рассматривается ответственность руководителя задания в отношении обеспечения ресурсами, необходимыми для выполнения задания.

--------------------------------

<18> МСА 220 (пересмотренный), пункты 25 - 28.