Як впливає стрімкий розвиток ери інформаційних технологій на аудит фінансової звітності
Багато компаній все ще не усвідомлюють, що більші ризики сьогодні, пов’язані з інформаційними файлами та можливостями обробки даних.
Сьогодні інформація є вагомим виробничим ресурсом кожної компанії. Через це велике значення набувають методи обробки та використання інформації, а також технічні засоби, що дозволяють перетворювати дані в інформаційний ресурс. Всі інформаційні системи характеризуються наявністю технологій, які формують та управляють процесами роботи з даними та інформацією, із застосуванням обчислювальної, комп'ютерної та комунікаційної техніки. Ці технології називають інформаційними.
Під впливом стрімкого розвитку інформаційної ери інформаційні технології (ІТ) знайшли широке застосування та є важливою передумовою успіху будь-якого бізнесу. Їх використання відкриває нові можливості для оптимізації бізнес-процесів, допомагає розширити ринки збуту, знизити витрати, підвищити продуктивність праці, ефективно використовувати ресурси та підвищити якість управління компанією.
Через те, що облікова інформація, яка є ядром економічної інформації підприємства, відрізняється великим обсягом, різноманітністю та складністю, інформаційно-комп’ютерні технології стали також невід’ємною частиною сучасних інформаційних систем бухгалтерського обліку. Тому важливо, щоб аудитори усвідомлювали вплив сучасних проблем ІТ на аудит фінансової звітності клієнта, як у контексті того, як клієнт використовує ІТ для збору облікових даних, так і як обробляє дані та розміщує отриману облікову інформацію у своїх фінансових звітах. У той же час постійне удосконалення ІТ не тільки забезпечує інформатизацію та високу ефективність бухгалтерського обліку компанії, але й створює багато ризиків, які випливають із використання IT.
Компанії завжди визнають ризики, пов’язані з готівкою та іншими активами, і звикли мати з ними справу. Але багато компаній все ще не усвідомлюють, що більші ризики сьогодні, пов’язані з інформаційними файлами та можливостями обробки даних. Представимо наприклад, які будуть наслідки для компанії у випадку повної втрати всіх файлів клієнтів та записів про дебіторську заборгованість? Компанія цілком може стати банкрутом.
МСА 315[i] наводить наступне визначення ризикам, що виникають в результаті використання ІТ – це схильність заходів контролю обробки інформації до неефективного проектування або експлуатації, або ризики для цілісності інформації (тобто повноти, точності і достовірності транзакцій та іншої інформації) в інформаційній системі суб'єкта господарювання через неефективне проектування або функціонування заходів контролю в ІТ- процесах суб'єкта господарювання.
Еволюційна тенденція обробки бізнес-даних привела до того, що діяльність компанії, її ресурси та можливості управління дедалі більше залежать від рівня засобів контролю, які використовуються під час проектування, розробки, впровадження та експлуатації ІТ. Саме тому МСА 315 вимагає від аудитора отримати розуміння того, як суб'єкт господарювання використовує ІТ, оскільки це безпосередньо впливає на:
- процес обробки, зберігання і передачи інформації, що відноситься до підготовки фінансової звітності відповідно до застосовних принципів фінансової звітності; а також
- розробку і впровадження суб’єктом господарювання системи його внутрішнього контролю (оскільки кожен компонент системи внутрішнього контролю суб'єкта господарювання певною мірою може використовувати ІТ).
Отримання аудитором розуміння засобів контролю ІТ та їх оцінка є частиною процесу визначення ризику суттєвих викривлень у фінансовій звітності клієнта з аудиту.
Розуміння ризиків, що виникають в результаті використання ІТ, може вплинути на:
● рішення аудитора про те, чи слід перевіряти ефективність функціонування засобів контролю для усунення ризиків суттєвих викривлень на рівні тверджень;
● оцінку аудитором ризику контролю на рівні тверджень;
● стратегію аудитора з перевірки інформації, що надається суб'єктом господарювання, яка створюється або включає інформацію з ІТ – додатків (це програма або набір програм, які використовуються суб’єктом господарювання для ініціювання, обробки, запису та подання транзакцій або інформації. ІТ-додатки також включають сховища даних і засоби створення звітів);
● оцінку аудитором невід'ємного ризику на рівні тверджень;
● розробку аудитором подальших аудиторських процедур.
Ступінь і характер застосовних ризиків, що виникають в результаті використання компанією ІТ, буде варіюються в залежності від характеру і характеристик ідентифікованих аудитором ІТ-додатків та інших аспектів ІТ-середовища такої компанії.
Оскільки використання IT безпосередньо впливає на спосіб здійснення контролю, аудитору потрібно розглянути, чи компанія належним чином компенсувала ризики, що виникають в результаті використання ІТ, за допомогою створення ефективних загальних засобів контролю IT.
Відповідно до Закону України «Про захист інформації в інформаційно-комунікаційних системах»[ii] об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації. З огляду на це засоби контролю над ІТ-системами можуть вважатися ефективними, коли вони забезпечують підтримку цілісності інформації, тобто гарантування точності, достовірності та повноти інформації, і безпеки даних, які ця система опрацьовує.
Ознайомлення із Законом України “Про захист інформації в автоматизованих системах” допомагає зрозуміти які дії становлять загрозу роботі ІТ-системам та призводять до спотворення процесу обробки інформації. Наприклад - це:
блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною особам, що не мають права доступу до неї;
знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;
несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації;
порушення цілісності інформації - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст.
Всі заходи контролю, які використовуються компаніями для зменшення рівня загроз, що виникають в результаті використання ІТ, можна поділити на три групи:
- Профілактична – заходи контролю, направлені на попередження порушень;
- Моніторингова- заходи контролю, направлені на виявлення порушень; і
- Коригувальна - заходи контролю, направлені на зменшення збитків і відновлення системи після порушення [iii]. (див. приклади в табл.)
Приклади заходів контролю ІТ для усунення ризиків, що виникають в результаті використання ІТ
У серпні 2023 року американський CPA Journal розмістив статтю «Перегляд ризиків інформаційних технологій. Запитання, які повинен поставити кожен аудиторський комітет»[iv]. В ній надано поради членам аудиторського комітету, які прагнуть покращити моніторинг ІТ-середовища своєї організації. Зокрема, там наведено ряд можливих питань, що стосуються застосування ІТ, і приклади відповідей на них, які потрібно розглядати, як «червоні прапорці» потенційних ризиків, що виникають в результаті використання ІТ. Враховуючи, що аудитор, як ми вже з’ясували, також повинен отримати розуміння суб’єкта господарювання та його середовища, щоб ідентифікувати та оцінити ризики суттєвого викривлення, у тому числі через ризики, що виникають в результаті використання ІТ, доречно і аудитору знати про ці питання та відповіді – червоні прапорці (див. таблицю нижче). Тим паче, що однією із процедур оцінки ризиків є опитування (запити) управлінського персоналу та інших працівників в межах підприємства.
Як бачимо, прогрес у використанні ІТ вимагає від аудитора бути більш компетентним в ключових аспектах інформаційних технологій і сьогодні це вже не є прерогативою лише ІТ-експертів.
[i] Міжнародний стандарт аудиту (МСА) 315 (переглянутий у 2019 році) «Ідентифікація та оцінювання ризиків суттєвого викривлення»
[ii] Закон України «Про захист інформації в інформаційно-комунікаційних системах» від 5 липня 1994 року № 80/94-ВР, zakon.rada.gov.ua/laws/show/80/94-вр#Text
[iii] Матюха М. М. Комп’ютерний аудит: опор. курс лекцій для студ. екон. спец. дистанційної форми навчання /М. М. Матюха. — К.: ДП «Вид. дім «Персонал», 2018. — 228 с.
[іv] Revisiting Information Technology Risks. Questions Every Audit Committee Should Ask
[v] Що таке архітектура нульової довіри? | Захисний комплекс Microsoft
- Яйце чи курка? Проєкт чи Постанова? Що має бути першим? Євген Власов вчора о 16:34
- "Національний кешбек", "єПідтримка" та "єКнига": чому ці програми важливі? Віктор Круглов вчора о 14:22
- За ґратами, але з гідністю: Як новий закон змінює підхід до прав ув’язнених в Україні Дмитро Зенкін вчора о 13:03
- Знищення архаїзмів: Чому на міжнародних маршрутах прибрали конкурсні комісії Альона Векліч вчора о 12:59
- Доцільність оскарження акту перевірки закупівель Держаудитслужби Євген Морозов вчора о 10:15
- Тест на державницьке мислення Євген Магда 17.12.2024 18:48
- Правова стратегія для захисту інтересів дитини у суді Юрій Бабенко 17.12.2024 16:36
- Як українським компаніям укласти PPA: Європейський досвід та рекомендації для бізнесу Ростислав Никітенко 17.12.2024 13:27
- Оголошення громадянина померлим в судовому порядку Євген Морозов 17.12.2024 11:06
- Закони зруйнованих домівок: як припинити право власності на знищену нерухомість Світлана Приймак 17.12.2024 10:55
- Адвокатура +5 балів: нові правила професійного розвитку Дмитро Зенкін 17.12.2024 10:40
- Податкова нарахувала податок без підстав: як захистити свої права Павло Васильєв 16.12.2024 15:33
- Реституція сторін за нікчемним договором оренди нерухомого майна Євген Морозов 16.12.2024 11:47
- Диплом за кутом: що не так із фальшивками та системою? Дмитро Зенкін 16.12.2024 10:15
- Пропущені строки звернення до суду військовослужбовцем: що постановив Верховний Суд? Світлана Приймак 16.12.2024 10:10
-
З 1 січня перетнути кордон з оформленою у день виїзду "Зеленою карткою" водії не зможуть
Фінанси 24899
-
Завод, де виробляють Вухастик, перейшов у власність держави
Бізнес 14186
-
Таємниця захмарних ставок. Чому оренда землі в Україні дорожча, ніж в Нідерландах
Бізнес 4347
-
"Екстрений крок": Польща починає продавати вершкове масло зі стратегічних резервів
Бізнес 3887
-
Як працюватиме школа без вчителів
Думка 3371