Куточок безпеки в аудиті

Як захистити систему обробки інформації та проінструктувати співробітників в рамках статті 23 Закону про аудит

«Надо мыслить. Меня, например, кормят идеи».

Остап Бендер, главный  герой романов

И. Ильфа и Е. Петрова

«Двенадцать стульев» и «Золотой теленок»

 Коли я аналізувала вимоги статті 23 Закону України «Про аудит фінансової звітності та аудиторську діяльність» (https://blog.liga.net/user/orubitel/article/32109) я звернула увагу, що, на відміну від Закону, інші професійні стандарти з питань контролю якості аудиторських послуг не вимагали від аудиторських фірм впровадження заходів та засобів для захисту систем обробки інформації.

Методологічні основи вирішення завдань захисту інформації, що обробляється в автоматизованій системі, у тому числі захист аудиторської документації з завдання  з метою підвищення якості аудиторських послуг, що надаються аудиторською фірмою, і гарантій безпеки майнових прав і інтересів клієнтів мають бути викладені у відповідному внутрішньому документі аудиторської фірми.

Даний документ може бути наповнений наступним змістом:

1) Загальні положення (викладається  мета і завдання щодо захисту інформації);

2) Відповідальні за захист системи обробки інформації (визначаємо посадові (функціональні) обов’язки, їх завдання, критерії прийнятності осіб, призначених відповідальними за захист інформації);

3) Єдина стратегія інформаційної безпеки аудиторської фірми (може бути визначено  у чому полягає політика інформаційної безпеки та  що саме є об’єктом захисту);

4) Загрози для інформації в автоматизованій системі  (можливі способи здійснювання загроз, основні види загроз для безпеки інформації, аналіз ризиків);

5) Політика щодо фактичного захисту інформації (визначаються основні принципи політики захисту інформації та комплекс заходів з захисту інформації);

6) Політика та процедури аудиторської фірми щодо забезпечення конфіденційності, збереженості, цілісності, зрозумілості і відтворюваності аудиторської документації з завдання;

7) Відповідальність.

 Ще одна вимога, яка була відсутня у давно знайомих для нас професійних стандартах, але з’явилася у ст. 23 Закону,  стосується  змісту внутрішніх документів аудиторської фірми де викладені політики та процедури виконання завдань з обов’язкового аудиту фінансової звітності.  Закон передбачає наявність в них вимоги до обов’язкового проведення  інструктажу аудиторів та інших працівників.

 Я не знайшла загального визначення терміну «інструктаж» в просторах інтернету, але є інструктаж з охорони праці,  інструктаж з техніки безпеки тощо. Що тут робити? Прийшлося мислити, як рекомендував Остап Бендер.

І ось результат мого мислення, який може бути використаний аудиторськими фірмами під час впровадження внутрішньої політики та процедур виконання завдань з обов’язкового аудиту фінансової звітності.

 За характером і часом проведення інструктажі з питань аудиту (далі — інструктажі) можуть  поділятися на: вступний; первинний; повторний; позаплановий; цільовий. 

Вступний інструктаж  проводиться:

-      з усіма працівниками, які приймаються на постійну або тимчасову роботу, незалежно від їх освіти, стажу роботи та посади;

-      з працівниками інших підприємств, які залучаються до виконання завдань з аудиту;

-      з учнями та студентами, які прибули на фірму для проходження трудового або професійного навчання;

 Вступний інструктаж проводиться керівником фірми або іншим фахівцем відповідно до наказу (розпорядження) керівника фірми.

 Первинний інструктаж проводиться до початку кожного виконання завдання з аудиту з усіма  працівниками, що входять до складу групи з завдання відповідно до виконуваної ними роботи.

Повторний інструктаж  проводиться керівником групи з завдання індивідуально з працівниками, що входить до складу  його групи, та включає у себе питання, що привернули особливу увагу або обговорення яких вимагається відповідними МСА: наприклад:

- розмір, складність і характер бізнесу клієнта та його середовища, у тому числі внутрішній контроль;

- законодавчі та нормативні акти, які суттєво впливають на  діяльність клієнта;

- зміни, яких зазнав клієнт у порівнянні з попереднім фінансовим роком;

- відомі на цей час зв’язані сторони;

- чутливість фінансової звітності до суттєвих викривлень унаслідок шахрайства або помилки, що можуть стати результатом відносин і операцій суб’єкта господарювання та пов’язаними з ним сторонами;

- тощо;

Позаплановий інструктаж проводиться з працівниками:

- при введенні в дію нових або переглянутих нормативно-правових актів з аудиту, а також при внесенні змін та доповнень до них;

- при зміні внутрішніх документів фірми з питань контролю якості;

- при порушеннях працівниками вимог нормативно-правових актів або внутрішніх документів фірми з питань контролю якості;

- при перерві в роботі виконавця робіт більш понад 60 днів.

Обсяг і зміст позапланового інструктажу визначаються в кожному окремому випадку залежно від причин і обставин, що спричинили потребу його проведення.

 Цільовий інструктаж проводиться з працівниками при виконанні завдання з аудиту, для суб’єкта господарювання, який має специфічні види діяльності, що є малознайомими для фірми. Цільовий інструктаж проводиться індивідуально з групою із завдання. Обсяг і зміст цільового інструктажу визначаються залежно від виду робіт, що виконуватимуться.

Запис про проведення інструктажу для відповідних осіб робиться в журналі реєстрації  інструктажу з питань аудиту.

«Якщо ви володієте знанням, дайте іншим запалити від нього свої світильники». (Т. Фулпер)

Я буду рада, якщо мої думки стануть для когось в нагоді та допоможуть запалити свій світильник думки.