В ответ на возросшие риски существенного искажения бухгалтерской отчетности или для компенсации тех средств контроля, которые в условиях COVID-19 оказались неэффективными, аудируемые лица могут вносить изменения в свои ИТ-системы и в средства контроля таких систем.
Уровень изменений в ИТ-системах и соответствующих средствах контроля зависит от конкретных обстоятельств аудируемого лица и от характеристик элементов (ручные или автоматизированные) системы контроля до условий COVID-19.
ИТ-системы аудируемого лица с большей вероятностью будут подвержены влиянию условий COVID-19, если аудируемое лицо:
- запланировало или находится в процессе работ по внедрению ИТ-систем;
- имеет ИТ-системы, которые в значительной степени зависят от небольшого числа ключевых лиц;
- имеет ИТ-системы, которые в значительной степени зависят от автоматизированных средств контроля, предполагающих частые изменения системной конфигурации или кодов в рамках стандартных операционных процедур;
- передало существенные ИТ-функции на аутсорсинг;
- осуществляет деятельность, которая в значительной степени зависит от ИТ-систем, и при этом средства контроля таких систем аудируемого лица функционируют в нескольких местах, включая общие центры обслуживания.
Если в ходе получения понимания аудируемого лица и его окружения, включая систему внутреннего контроля аудируемого лица, аудитор выявил изменения в ИТ-системах аудируемого лица и связанных средствах контроля, аудитор должен оценить возможное влияние этих изменений на подход к аудиту.
Аудитор должен рассмотреть, внесло ли руководство аудируемого лица изменения в процесс подготовки бухгалтерской отчетности и бизнес-процессы, а также в связанные с ними автоматизированные и общие средства контроля ИТ-систем, имея в виду отсутствие или недостаточность физического доступа к системам и удаленный (дистанционный) режим работы работников. Данные изменения в процессах могут повлиять на точки риска соответствующего процесса, что может, в свою очередь, потребовать изменений не только в самих контрольных действиях, но и в периодичности и объеме мероприятий по мониторингу, а также в общих средствах контроля ИТ-систем, которые поддерживают согласованную работу автоматизированных средств контроля.
Если аудитор выявил изменения в процессе подготовки бухгалтерской отчетности, бизнес-процессах, средствах контроля, значимых для аудита, аудитор должен рассмотреть необходимость тестирования эффективности соответствующих средств контроля до и после изменения. В зависимости от обстоятельств аудитору также следует рассмотреть целесообразность использования работы ИТ-экспертов.
Если аудитор выявил значительные изменения в ИТ-системах аудируемого лица, ему необходимо рассмотреть:
- влияние данных изменений на порядок учета и обработки операций;
- средства контроля, функционирующие на текущий момент и функционировавшие до указанных изменений.
Понимание влияния условий COVID-19 на ИТ-системы аудируемого лица и связанные средства контроля поможет аудитору определить характер, сроки и объем аудиторских процедур в ответ на оцененные риски существенного искажения бухгалтерской отчетности.
Помимо прочего, в условиях COVID-19 особое значение приобретают кибер-риски. Возрастает количество кибератак на ИТ-системы аудируемых лиц. Кибер-преступники находят новые способы проведения фишинговых атак, включая для целей хищения идентификационных данных у работников, работающих удаленно. Кибер-преступники могут выдавать себя за ИТ-персонал аудируемого лица, перенаправлять получателей фишинговых сообщений на поддельные вэб-страницы, с которых якобы осуществляется удаленный доступ к внутренним сетям аудируемых лиц или доступ к учетным записям.
Соответственно возрастает риск ненадлежащего или несанкционированного доступа к ИТ-системам, в которых хранятся финансовые данные или которые обеспечиваются средствами контроля, значимыми для целей подготовки бухгалтерской отчетности. Аудитору следует рассмотреть:
- какими мерами руководство аудируемого лица снижает данный риск;
- ослаблены ли существующие средства контроля доступа, например, в связи с отсутствием или недостаточным количеством персонала, осуществляющего мониторинг и обеспечивающего применение соответствующих средств контроля логического доступа.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей