Выявление рисков, возникающих вследствие использования ИТ, и общих средств ИТ-контроля (см. пункт 26(c))

В Приложении 6 приводятся вопросы, которые следует рассмотреть при изучении общих средств ИТ-контроля.

A173. При выявлении рисков, возникающих вследствие использования ИТ, аудитор может рассмотреть характер выявленного ИТ-приложения или иного аспекта ИТ-среды, а также причины, по которым они подвержены рискам, возникающим вследствие использования ИТ. По некоторым выявленным ИТ-приложениям и другим аспектам ИТ-среды аудитор может выявить применимые риски, возникающие вследствие использования ИТ и относящиеся в основном к несанкционированному доступу или неавторизованным программным изменениям, а также риски, связанные с ненадлежащими изменениями данных (например, риск внесения ненадлежащих изменений в данные посредством получения прямого доступа к базам данных или возможности непосредственного манипулирования информацией).

A174. Объем и характер применимых рисков, возникающих вследствие использования ИТ, различны в зависимости от характера и характеристик выявленных ИТ-приложений и других аспектов ИТ-среды. Применимые ИТ-риски могут возникать в тех случаях, когда организация привлекает внешних или внутренних поставщиков услуг для поддержки выявленных аспектов своей ИТ-среды (например, передает на аутсорсинг третьей стороне хостинг своей ИТ-среды или использует общий центр обслуживания для централизованного управления ИТ-процессами в группе). Применимые риски, возникающие вследствие использования ИТ, также могут быть выявлены в части кибербезопасности. Скорее всего, при использовании ИТ возникает больше рисков в тех случаях, когда объем автоматизированных прикладных средств контроля больше или уровень их сложности выше и руководство в большей степени полагается на эти средства контроля для эффективной обработки операций или эффективного обеспечения целостности базовой информации.