18. Примеры рисков, возникающих вследствие использования ИТ, включают риски, связанные с ненадлежащим использованием ИТ-приложений, которые неточно обрабатывают данные, обрабатывают неточные данные или делают возможным то и другое, в частности:
- несанкционированный доступ к данным, который может привести к уничтожению данных или ненадлежащим изменениям в данных, включая отражение несанкционированных или несуществующих операций, или к неточному отражению операций. Определенные риски могут возникать в случае доступа к общей базе данных большого числа пользователей;
- возможность получения персоналом ИТ-отдела прав доступа, превышающих уровень, необходимый для выполнения порученных им обязанностей, что нарушает принцип разделения должностных обязанностей;
- внесение несанкционированных изменений в данные в главных файлах;
- внесение несанкционированных изменений в ИТ-приложения или другие аспекты ИТ-среды;
- невнесение необходимых изменений в ИТ-приложения или другие аспекты ИТ-среды;
- ненадлежащее вмешательство, осуществленное вручную;
- потенциальная потеря данных или невозможность получить доступ к данным, когда это необходимо.
19. Рассмотрение аудитором несанкционированного доступа может включать риски, связанные с несанкционированным доступом внутренних или внешних сторон (часто именуемые "риски кибербезопасности"). Такие риски необязательно могут влиять на составление финансовой отчетности, так как ИТ-среда организации может также включать ИТ-приложения и соответствующие данные, связанные с ее операционными потребностями или соблюдением законов или нормативных актов. Важно отметить, что киберинциденты обычно сначала возникают в периметре и на уровнях внутренней сети, которые затем исключаются из ИТ-приложения, базы данных и операционных систем, влияющих на подготовку финансовой отчетности. Следовательно, если была выявлена информация о нарушении системы безопасности, аудитор обычно рассматривает, в какой мере такое нарушение может повлиять на составление финансовой отчетности. Если возможны последствия для составления финансовой отчетности, аудитор может принять решение изучить и провести тестирование соответствующих средств контроля, чтобы определить возможное влияние или масштаб потенциальных искажений в финансовой отчетности, или может определить, что организация раскрыла надлежащую информацию в отношении такого нарушения системы безопасности.
20. Кроме того, законы и нормативные акты, которые могут напрямую или косвенно влиять на финансовую отчетность организации, могут включать законодательство о защите данных. Рассмотрение вопроса о соблюдении организацией таких законов или нормативных актов в соответствии с МСА 250 (пересмотренным) <81> может включать изучение ИТ-процессов организации и общих средств ИТ-контроля, которые организация внедрила в целях соблюдения соответствующих законов или нормативных актов.
--------------------------------
<81> МСА 250 (перерассмотренный).
21. Общие средства ИТ-контроля внедряются в целях реагирования на риски, возникающие вследствие использования ИТ. Следовательно, аудитор использует понимание, полученное в отношении выявленных ИТ-приложений и других аспектов ИТ-среды, а также применимых рисков, возникающих вследствие использования ИТ, при принятии решения об определении общих средств ИТ-контроля. В некоторых случаях организация может использовать общие ИТ-процессы своей ИТ-среды или определенных ИТ-приложений, и тогда могут быть выявлены общие риски, возникающие вследствие использования ИТ, и единые для таких процессов общие средства ИТ-контроля.
22. В целом в отношении ИТ-приложений и баз данных, по всей вероятности, выявляется больше общих средств ИТ-контроля, чем в отношении других аспектов ИТ-среды. Это объясняется тем, что такие аспекты наиболее тесно связаны с обработкой и хранением информации в информационной системе организации. При выявлении общих средств ИТ-контроля аудитор может рассматривать средства контроля за действиями как конечных пользователей, так и сотрудников ИТ-отдела организации или поставщиков ИТ-услуг.
23. В Приложении 6 дополнительно разъясняется характер общих средств ИТ-контроля, обычно используемых для различных аспектов ИТ-среды. Кроме того, приводятся примеры общих средств ИТ-контроля для различных ИТ-процессов.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей