Средства контроля ИТ рисков на уровне бизнес-процесса по МСА 315

Согласно МСА 315 аудитор должен получить представление о том, как субъект реагирует на риски, возникающие в связи с использованием ИТ.

Сегодня во многих субъектах управление прикладными информационными программами осуществляется централизовано. В малых субъектах ответственность за управление ИТ может лежать на одном лице, привлеченном со стороны, или даже являться работой на неполную ставку для такого лица. Независимо от размера существует множество факторов риска, связанных с управлением ИТ, которые могли бы привести к существенному искажению в финансовой отчетности.

Бизнес-процессы – это структурированная совокупность видов деятельности, разработанная, чтобы обеспечить указанный результат. Средства контроля на уровне бизнес-процесса направлены на ежедневные действия, такие как обработка операций.

Средства контроля на уровне бизнес-процесса в целом могут классифицироваться как профилактические, обнаруживающие, компенсирующие или направляющие:

• Профилактические средства контроля помогают избежать ошибок или нарушений;
• Обнаруживающие средства контроля идентифицируют ошибки или нарушения после того, как они произошли, чтобы предпринять корректирующие действия;
• Компенсирующие средства контроля обеспечивают некоторую уверенность в том случае, когда ограниченные ресурсы не позволяют применить другие, более прямые средства контроля; и
• Направляющие средства контроля (то есть, политика) разработаны, чтобы направлять действия к желательным целям.

Характер средств контроля на уровне бизнес-процесса варьируется в зависимости от конкретной прикладной программы.

Типичные средства контроля на уровне бизнес-процесса включают разделение обязанностей, уровни утверждения операции и автоматизированные средства контроля, такие как автоматическая нумерация коммерческих счетов, подготовка и проверка банковских и других сверок на своевременной основе, а также проверку фактических результатов операционной деятельности на предмет соответствия бюджету.

В дополнение к преимуществам и рискам общих средств контроля в информационных технологиях, существуют также преимущества и риски использования ручных средств контроля, как описано ниже.

Преимущества ручных средств контроля

• Лучше подходят для областей, где требуется суждение и усмотрение в отношении крупных, необычных или неповторяющихся операций;
• Выгодны, когда трудно определить, предвидеть, или предсказать ошибки;
• Изменение обстоятельств может потребовать реакции со стороны средства контроля, которая выходит за рамки существующего автоматизированного контроля;
• Могут отслеживать эффективность автоматизированных средств контроля

Риски, связанные с ручными средствами контроля

• Менее надежны, чем автоматизированные средства контроля, поскольку они выполняются людьми;
• Их легче обойти, проигнорировать, или свести на нет;
• Склонны к простым ошибкам и погрешностям;
• Нельзя полагаться на допущение об их последовательном применении;
• В меньшей степени подходят для большого объема операций или повторяющихся операций, где автоматизированные средства контроля были бы более эффективными;
• В меньшей степени подходят для действий, когда определенные методы реализации контроля могут быть адекватно разработаны и автоматизированы

Когда субъект использует смесь ручных и автоматизированных средств контроля, важно идентифицировать, кто отвечает за выполнение каждого вида контроля. Например, предположите, что менеджер склада отвечает за отгрузку товаров. Отвечает ли этот менеджер только за ввод данных, или эта ответственность простирается на компьютерные системы контроля, которые проверяют соответствие отгрузки заказу? Если что-то пошло не так, как надо в процессе проверки соответствия, является ли это ответственностью склада, отдела ИТ, или бухгалтерии? Если нет одного лица, отвечающего за весь процесс, отделы неизбежно будут обвинять друг друга в случае возникновения ошибок.


Хестория Украина-Плюс: Юридическая консультация в Киеве!