Получение понимания в отношении использования организацией информационных технологий в информационной системе (см. пункт 25(a))

3. Информационная система организации может предусматривать использование осуществляемых вручную и автоматизированных элементов, которые также влияют на то, как операции инициируются, учитываются, обрабатываются и отражаются в отчетности. В частности, процедуры инициирования, учета, обработки и отражения операций в отчетности могут регламентироваться ИТ-приложениями, используемыми организацией, и тем, каким образом организация настроила эти приложения. Кроме того, записи в форме цифровой информации могут заменять или дополнять записи, выполненные в форме документов на бумажном носителе.

4. При получении понимания ИТ-среды, относящейся к потокам операций и обработке информации в информационной системе, аудитор собирает информацию о характере и характеристиках используемых ИТ-приложений, а также вспомогательной ИТ-инфраструктуры и информационных технологий. В таблицу ниже включены примеры вопросов, которые аудитор может рассмотреть при изучении среды информационных технологий, и примеры типичных характеристик среды информационных технологий, учитывающие сложность ИТ-приложений, используемых в информационной системе организации. Однако такие характеристики являются ориентировочными и могут различаться в зависимости от характера определенных ИТ-приложений, используемых организацией.

Примеры типичных характеристик

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

Вопросы, относящиеся к уровню автоматизации и использованию данных

-

Объем автоматизированных процедур обработки и сложность этих процедур, в том числе в случае высокоавтоматизированных средств, безбумажной обработки

Неприменимо

Неприменимо

Расширенные и зачастую сложные автоматизированные процедуры

-

Уровень использования организацией сформированных системой отчетов при обработке информации

Логика простого автоматизированного отчета

Логика применимого простого автоматизированного отчета

Логика сложного автоматизированного отчета; программное обеспечение генератора отчетов

-

Как осуществляется ввод данных (то есть ввод вручную, ввод клиентом или продавцом или загрузка файла)

Ввод данных вручную

Ввод небольшого количества данных или простые интерфейсы

Ввод большого количества данных или сложные интерфейсы

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

-

Как ИТ обеспечивают взаимодействие между приложениями, базами данных или другими аспектами ИТ-среды через интерфейсы системы внутри и вне организации в зависимости от обстоятельств

Автоматизированные интерфейсы отсутствуют (ввод только вручную)

Ввод небольшого количества данных или простые интерфейсы

Ввод большого количества данных или сложные интерфейсы

-

Объем и сложность данных в цифровой форме, обрабатываемых информационной системой, в том числе хранятся ли данные бухгалтерского учета и другая информация в цифровой форме, и место хранения данных

Небольшой объем данных или простые данные, которые можно проверить вручную; наличие данных на локальном уровне

Небольшой объем данных или простые данные

Большой объем данных или сложные данные;

хранилища данных <80>, использование внутренних или внешних провайдеров ИТ-услуг (например, хранение или хостинг данных сторонними организациями)

Вопросы, относящиеся к ИТ-приложениям и ИТ-инфраструктуре

-

Тип приложения (например, коммерческое приложение с небольшой адаптацией или без нее или значительно адаптированное или высокоинтегрированное приложение, которое может быть приобретено и адаптировано или разработано самостоятельно

Приобретенное приложение с небольшой адаптацией или без нее

Приобретенное приложение или простые приложения системы управления предприятием прежних версий или начального уровня с небольшой адаптацией или без нее

Специально разработанные приложения или более сложные системы управления предприятием со значительной адаптацией

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

-

Сложный характер ИТ-приложений и базовой ИТ-инфраструктуры

Небольшой простой портативный компьютер или решение на основе модели клиент-сервер

Эффективный и стабильный базовый компьютер, небольшой или простой клиентский сервер, программное обеспечение в форме сервисного облака

Сложный базовый компьютер, большой или сложный клиентский сервер с выходом в интернет, инфраструктура в форме сервисного облака

-

Используется ли сторонний хостинг или аутсорсинг ИТ

При передаче в аутсорсинг привлекается компетентный, опытный, надежный провайдер (например, провайдер облачных вычислений)

При передаче в аутсорсинг привлекается компетентный, опытный, надежный провайдер (например, провайдер облачных вычислений)

Компетентный, опытный, надежный провайдер для некоторых приложений и новый или вновь созданный провайдер для других приложений

-

Использует ли организация новые технологии, которые влияют на составление ее финансовой отчетности

Новые технологии не используются

Новые технологии используются в ограниченном объеме в некоторых приложениях

Комплексное использование новых технологий на разных платформах

Вопросы, относящиеся к ИТ-процессам

-

Персонал, участвующий в обслуживании ИТ-среды (численность и уровень квалификации ресурсов по ИТ-поддержке, которые обеспечивают безопасность и внесение изменений в ИТ-среду)

Несколько сотрудников с ограниченным знанием ИТ для обработки обновлений поставщика и управления доступом

Ограниченное число сотрудников с навыками использования ИТ/специализирующихся в области ИТ

Специальные ИТ-отделы с квалифицированным персоналом, включая программистов

-

Сложность процессов по управлению правами доступа

Один сотрудник, имеющий доступ с правами администратора, для управления правами доступа

Несколько сотрудников, имеющих доступ с правами администратора, для управления правами доступа

Сложные процессы управления правами доступа, регламентируемые ИТ-отделом

-

Сложность системы безопасности ИТ-среды,

Простой локальный доступ без внешних

Несколько приложений на основе вебтехнологий с

Большое число платформ с доступом на основе вебтехнологий

Несложное коммерческое программное обеспечение

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера

Большие или сложные ИТ-приложения (например, система управления предприятием)

-

Включая чувствительность ИТ-приложений, баз данных и других аспектов ИТ-среды к киберрискам, особенно в случаях, когда проводятся операции с использованием веб-технологий или внешних интерфейсов

элементов с выходом в интернет

преимущественно простой системой безопасности, построенной на основе ролей

и сложные модели безопасности

-

Вносились ли изменения в программы в отношении метода обработки информации, и объем таких изменений в течение периода

Коммерческое программное обеспечение без установки исходного кода программы

Некоторые коммерческие приложения без исходного кода и другие более совершенные приложения с несколькими или простыми изменениями, традиционный жизненный цикл разработки систем

Новые изменения, их большое количество или высокая сложность, несколько циклов разработки в течение каждого года

-

Объем изменений в ИТ-среде

(например, новые аспекты ИТ-среды или значительные изменения в ИТ-приложениях или базовой ИТ-инфраструктуре)

Изменения ограничиваются обновлением версий коммерческого программного обеспечения

Изменения включают обновление коммерческого программного обеспечения, версий системы управления предприятием или доработку существующих программ

Новые изменения, их большое количество или высокая сложность, несколько циклов разработки в течение каждого года, значительная адаптация системы управления предприятием

-

Проводилось ли значительное преобразование данных в течение периода и, если это так, каковы характер и значение внесенных изменений и способ проведения преобразования

Обновления программного обеспечения, предоставляемые поставщиком;

отсутствие функционала по преобразованию данных для обновления

Небольшие обновления версии коммерческих программных приложений с ограниченным преобразованием данных

Значительное обновление версий, выпуск новых версий, изменение платформ

КонсультантПлюс: примечание.

В официальном тексте документа, видимо, допущена опечатка: имеется в виду сноска <80>, а не сноска <76>.

--------------------------------

<76> Хранилище данных обычно определяется как центральный репозиторий интегрированных данных из одного или нескольких различных источников (например, большого количества баз данных), на основе которых могут формироваться отчеты или которые могут использоваться организацией для осуществления другой деятельности по анализу данных. Генератор отчетов - это ИТ-приложение, которое используется для извлечения данных из одного или нескольких источников (таких как хранилище данных, база данных или ИТ-приложение) и представления данных в определенном формате.