Як впливає стрімкий розвиток ери інформаційних технологій на аудит фінансової звітності
Багато компаній все ще не усвідомлюють, що більші ризики сьогодні, пов’язані з інформаційними файлами та можливостями обробки даних.
Сьогодні інформація є вагомим виробничим ресурсом кожної компанії. Через це велике значення набувають методи обробки та використання інформації, а також технічні засоби, що дозволяють перетворювати дані в інформаційний ресурс. Всі інформаційні системи характеризуються наявністю технологій, які формують та управляють процесами роботи з даними та інформацією, із застосуванням обчислювальної, комп'ютерної та комунікаційної техніки. Ці технології називають інформаційними.
Під впливом стрімкого розвитку інформаційної ери інформаційні технології (ІТ) знайшли широке застосування та є важливою передумовою успіху будь-якого бізнесу. Їх використання відкриває нові можливості для оптимізації бізнес-процесів, допомагає розширити ринки збуту, знизити витрати, підвищити продуктивність праці, ефективно використовувати ресурси та підвищити якість управління компанією.
Через те, що облікова інформація, яка є ядром економічної інформації підприємства, відрізняється великим обсягом, різноманітністю та складністю, інформаційно-комп’ютерні технології стали також невід’ємною частиною сучасних інформаційних систем бухгалтерського обліку. Тому важливо, щоб аудитори усвідомлювали вплив сучасних проблем ІТ на аудит фінансової звітності клієнта, як у контексті того, як клієнт використовує ІТ для збору облікових даних, так і як обробляє дані та розміщує отриману облікову інформацію у своїх фінансових звітах. У той же час постійне удосконалення ІТ не тільки забезпечує інформатизацію та високу ефективність бухгалтерського обліку компанії, але й створює багато ризиків, які випливають із використання IT.
Компанії завжди визнають ризики, пов’язані з готівкою та іншими активами, і звикли мати з ними справу. Але багато компаній все ще не усвідомлюють, що більші ризики сьогодні, пов’язані з інформаційними файлами та можливостями обробки даних. Представимо наприклад, які будуть наслідки для компанії у випадку повної втрати всіх файлів клієнтів та записів про дебіторську заборгованість? Компанія цілком може стати банкрутом.
МСА 315[i] наводить наступне визначення ризикам, що виникають в результаті використання ІТ – це схильність заходів контролю обробки інформації до неефективного проектування або експлуатації, або ризики для цілісності інформації (тобто повноти, точності і достовірності транзакцій та іншої інформації) в інформаційній системі суб'єкта господарювання через неефективне проектування або функціонування заходів контролю в ІТ- процесах суб'єкта господарювання.
Еволюційна тенденція обробки бізнес-даних привела до того, що діяльність компанії, її ресурси та можливості управління дедалі більше залежать від рівня засобів контролю, які використовуються під час проектування, розробки, впровадження та експлуатації ІТ. Саме тому МСА 315 вимагає від аудитора отримати розуміння того, як суб'єкт господарювання використовує ІТ, оскільки це безпосередньо впливає на:
- процес обробки, зберігання і передачи інформації, що відноситься до підготовки фінансової звітності відповідно до застосовних принципів фінансової звітності; а також
- розробку і впровадження суб’єктом господарювання системи його внутрішнього контролю (оскільки кожен компонент системи внутрішнього контролю суб'єкта господарювання певною мірою може використовувати ІТ).
Отримання аудитором розуміння засобів контролю ІТ та їх оцінка є частиною процесу визначення ризику суттєвих викривлень у фінансовій звітності клієнта з аудиту.
Розуміння ризиків, що виникають в результаті використання ІТ, може вплинути на:
● рішення аудитора про те, чи слід перевіряти ефективність функціонування засобів контролю для усунення ризиків суттєвих викривлень на рівні тверджень;
● оцінку аудитором ризику контролю на рівні тверджень;
● стратегію аудитора з перевірки інформації, що надається суб'єктом господарювання, яка створюється або включає інформацію з ІТ – додатків (це програма або набір програм, які використовуються суб’єктом господарювання для ініціювання, обробки, запису та подання транзакцій або інформації. ІТ-додатки також включають сховища даних і засоби створення звітів);
● оцінку аудитором невід'ємного ризику на рівні тверджень;
● розробку аудитором подальших аудиторських процедур.
Ступінь і характер застосовних ризиків, що виникають в результаті використання компанією ІТ, буде варіюються в залежності від характеру і характеристик ідентифікованих аудитором ІТ-додатків та інших аспектів ІТ-середовища такої компанії.
Оскільки використання IT безпосередньо впливає на спосіб здійснення контролю, аудитору потрібно розглянути, чи компанія належним чином компенсувала ризики, що виникають в результаті використання ІТ, за допомогою створення ефективних загальних засобів контролю IT.
Відповідно до Закону України «Про захист інформації в інформаційно-комунікаційних системах»[ii] об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації. З огляду на це засоби контролю над ІТ-системами можуть вважатися ефективними, коли вони забезпечують підтримку цілісності інформації, тобто гарантування точності, достовірності та повноти інформації, і безпеки даних, які ця система опрацьовує.
Ознайомлення із Законом України “Про захист інформації в автоматизованих системах” допомагає зрозуміти які дії становлять загрозу роботі ІТ-системам та призводять до спотворення процесу обробки інформації. Наприклад - це:
блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною особам, що не мають права доступу до неї;
знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;
несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації;
порушення цілісності інформації - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст.
Всі заходи контролю, які використовуються компаніями для зменшення рівня загроз, що виникають в результаті використання ІТ, можна поділити на три групи:
- Профілактична – заходи контролю, направлені на попередження порушень;
- Моніторингова- заходи контролю, направлені на виявлення порушень; і
- Коригувальна - заходи контролю, направлені на зменшення збитків і відновлення системи після порушення [iii]. (див. приклади в табл.)
Приклади заходів контролю ІТ для усунення ризиків, що виникають в результаті використання ІТ
У серпні 2023 року американський CPA Journal розмістив статтю «Перегляд ризиків інформаційних технологій. Запитання, які повинен поставити кожен аудиторський комітет»[iv]. В ній надано поради членам аудиторського комітету, які прагнуть покращити моніторинг ІТ-середовища своєї організації. Зокрема, там наведено ряд можливих питань, що стосуються застосування ІТ, і приклади відповідей на них, які потрібно розглядати, як «червоні прапорці» потенційних ризиків, що виникають в результаті використання ІТ. Враховуючи, що аудитор, як ми вже з’ясували, також повинен отримати розуміння суб’єкта господарювання та його середовища, щоб ідентифікувати та оцінити ризики суттєвого викривлення, у тому числі через ризики, що виникають в результаті використання ІТ, доречно і аудитору знати про ці питання та відповіді – червоні прапорці (див. таблицю нижче). Тим паче, що однією із процедур оцінки ризиків є опитування (запити) управлінського персоналу та інших працівників в межах підприємства.
Як бачимо, прогрес у використанні ІТ вимагає від аудитора бути більш компетентним в ключових аспектах інформаційних технологій і сьогодні це вже не є прерогативою лише ІТ-експертів.
[i] Міжнародний стандарт аудиту (МСА) 315 (переглянутий у 2019 році) «Ідентифікація та оцінювання ризиків суттєвого викривлення»
[ii] Закон України «Про захист інформації в інформаційно-комунікаційних системах» від 5 липня 1994 року № 80/94-ВР, zakon.rada.gov.ua/laws/show/80/94-вр#Text
[iii] Матюха М. М. Комп’ютерний аудит: опор. курс лекцій для студ. екон. спец. дистанційної форми навчання /М. М. Матюха. — К.: ДП «Вид. дім «Персонал», 2018. — 228 с.
[іv] Revisiting Information Technology Risks. Questions Every Audit Committee Should Ask
[v] Що таке архітектура нульової довіри? | Захисний комплекс Microsoft
- Історичний кіт у мішку: чому піврічні торги деревиною обурили деревообробників Юрій Дюг 07:32
- Доплата за фактичні квадратні метри об`єкту інвестування Євген Морозов вчора о 14:52
- "Компостер подій" Кремля: будьте пильними Євген Магда вчора о 11:28
- З 1 грудня зміняться правила бронювання: з'явилася Постанова Кабміну Віталій Соловей 23.11.2024 20:23
- Бюджет-2025 прийнятий, але це не точно Любов Шпак 23.11.2024 18:55
- Час затягувати паски Андрій Павловський 23.11.2024 17:27
- Строк нарахування 3% річних від суми позики Євген Морозов 23.11.2024 13:52
- Судовий захист при звернені стягнення на предмет іпотеки, якщо таке майно не відчужено Євген Морозов 22.11.2024 13:02
- Система обліку немайнової шкоди: коли держава намагається залікувати невидимі рани війни Світлана Приймак 22.11.2024 11:36
- Чому енергетичні та газові гіганти обирають Нідерланди чи Швейцарію для бізнесу Ростислав Никітенко 22.11.2024 08:47
- 1000+ днів війни: чи достатньо покарати агрессора правовими засобами?! Дмитро Зенкін 21.11.2024 21:35
- Горизонтальний моніторинг як сучасний метод податкового контролю Юлія Мороз 21.11.2024 13:36
- Ієрархія протилежних правових висновків суду касаційної інстанції Євген Морозов 21.11.2024 12:39
- Чужий серед своїх: право голосу і місце в політиці іноземців у ЄС Дмитро Зенкін 20.11.2024 21:35
- Сталий розвиток рибного господарства: нові можливості для інвестицій в Україні Артем Чорноморов 20.11.2024 15:59
-
24 листопада в Україні відключатимуть світло – деталі
Бізнес 8489
-
Банки в ОАЕ, Туреччині та Таїланді не обслуговують видані Газпромбанком картки UnionPay
Фінанси 8452
-
В Україні фальсифіковані до 25% молочних продуктів: голова Спілки молочних підприємств
Бізнес 6212
-
Чоловіки, які прийшли на підприємство і були заброньовані після 18 травня, втратять бронь
виправлено Бізнес 6082
-
Найвища гора Західної Європи та найефектніша гора Франції: неперевершений Монблан — фото
Життя 3574