Почему аудитор выявляет риски, возникающие вследствие использования информационных технологий, и общие средства ИТ-контроля, относящиеся к выявленным ИТ-приложениям и прочим аспектам ИТ-среды

Когда общие средства ИТ-контроля не разработаны эффективно или не внедрены надлежащим образом с целью снижения рисков, возникающих вследствие использования информационных технологий (например, средства контроля не предотвращают или не обнаруживают надлежащим образом неавторизованные изменения в программе или несанкционированный доступ к ИТ-приложениям), этот факт может оказать влияние на решение аудитора полагаться на автоматизированные средства контроля в рамках рассматриваемых ИТ-приложений.

Непрерывное эффективное функционирование средства контроля обработки информации может зависеть от определенных общих средств ИТ-контроля, которые предотвращают или обнаруживают неавторизованные программные изменения в средствах контроля обработки ИТ-информации (то есть средства контроля за изменениями программного обеспечения в отношении соответствующего ИТ-приложения). В таких обстоятельствах ожидаемая операционная эффективность (или ее отсутствие) общих средств ИТ-контроля может влиять на оценку аудитором риска средств контроля (например, риск средств контроля может быть выше, если ожидается, что такие общие средства ИТ-контроля будут неэффективными, или если аудитор не планирует тестировать общие средства ИТ-контроля).

Если предоставленная организацией информация, которая будет использована в качестве аудиторских доказательств, сформирована ИТ-приложениями, аудитор может принять решение о тестировании средств контроля за отчетами, сформированными системой, включая выявление и тестирование общих средств ИТ-контроля, которые предназначены для снижения рисков ненадлежащих или неавторизованных программных изменений или изменений непосредственно в данных отчета.

Внесение значительных или многочисленных программных изменений в ИТ-приложения с учетом новых или пересмотренных требований к отчетности применимой концепции подготовки финансовой отчетности может указывать на сложность новых требований и их влияние на финансовую отчетность организации. Когда происходят такие многочисленные изменения в программе или данных, ИТ-приложение тоже, скорее всего, будет подвергаться рискам, возникающим в связи с использованием информационных технологий.

Если средства контроля обработки информации полагаются на общие средства ИТ-контроля, аудитор может принять решение о тестировании операционной эффективности общих средств ИТ-контроля, в результате потребуется разработать тестирование средств контроля для таких общих средств ИТ-контроля. Если при таких же обстоятельствах аудитор принимает решение не проводить тестирование операционной эффективности общих средств ИТ-контроля или предполагается, что общие средства ИТ-контроля неэффективны, возможно, потребуется снизить соответствующие риски, возникающие вследствие использования ИТ, посредством разработки процедур проверки по существу. Однако риски, возникающие вследствие использования ИТ, невозможно снизить, если они относятся к рискам, для которых одни только процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства. В таких случаях аудитору может потребоваться рассмотреть последствия для аудиторского мнения.