Как использовать COSO в оценке внутреннего контроля IT?

Внутренний аудит
Источник: GAAP.RU
Опубликовано: 22 мая 2014

Автор: Джон Уайт (John White) CPA/CITP, PH.D

Источник: Journal of Accountancy

Перевод: GAAP.RU

Фото: http://www.pressfoto.ru

11-й Принцип популярных «Основ» действительно может помочь с управлением системами

Организация качественного контроля информационных систем – постоянная головная боль для бизнеса по мере того, как он пытается использовать технологические преимущества для обеспечения эффективности и роста.

Принцип 11 не так давно обновленного руководства* по внутреннему контролю от Комитета спонсорских организаций (COSO) Комиссии Тредвея содержит указание для оценки эффективности контроля IT (см. иллюстрацию). Как часть общей оценки организацией своего внутреннего контроля в соответствии с этим руководством, Принцип 11 может помочь бухгалтерам и внутренним аудиторам с быстрым развитием технологий, использующихся их организациями.

Данная иллюстрация показывает шаги, которые могут предпринять профессиональные бухгалтеры и внутренние аудиторы в компаниях, применяя 11-й Принцип к IT-системам своих организаций и оценивая эффективность рычагов контроля. Как можно легко убедиться, это довольно общая схема, чтобы ее можно было использовать в любом бизнесе – большом и малом, сложном и не очень.

Принцип 11 COSO

Данный принцип обновленного руководства по внутреннему контролю от Комитета спонсорских организаций Комиссии Тредвея содержит указания для оценки эффективности контроля ИТ. Принцип 11 говорит, что организация должна отбирать и развивать деятельность общего контроля технологий для обеспечения достижения поставленных задач. В качестве основного этот принцип подразумевает, что организация обязана:

  • Определять зависимость между использованием технологии в бизнес-процессе и общими рычагами контроля технологий
  • Создавать адекватную инфраструктуру контроля технологий
  • Вводить адекватный процесс контроля безопасности
  • …И не менее адекватный процесс контроля приобретения технологий, их развития и поддержания в надлежащем состоянии

Первый шаг – это получение представления об использующейся технологии, в том числе:

  • Ее инфраструктуре и компонентах
  • Конечных точках обработки (ноутбуки, мобильные устройства, таблицы)
  • IT-приложения, отсылаемые на аутсорсинг в «облака» и другим сторонним поставщикам услуг
  • Как происходит управление функцией данной технологии на предприятии

Понимание этих четырех областей обеспечивается процедурами, описанными в аудиторском стандарте от AICPA: Clarified Auditing Standard AU-C Section 314, «Understanding the Entity and Its Environment and Assessing the Risk of Material Misstatement» («Понимание особенностей организации и окружения и оценка риска существенного расхождения»):

  • Опрос персонала
  • Аналитические процедуры
  • Наблюдение за процессами
  • Инспекция документов и документации

Последние четыре шага (см. таблицу) показывает анализ прикладных устройств и оценку рисков обработки информации, с которыми они связаны, а далее – анализ общего контроля технологий, которые защищают прикладные устройства. В конечном итоге аудитор будет использовать систему процедур, с помощью которой будет присваивать вероятностные значения обнаружению/необнаружению и/или корректировке ошибки/отсутствию корректировки устройством контроля.

Последний шаг предполагает использование матрицы устройств контроля (скорее всего, в виде таблицы) и модели развития, а уровень контроля будет определяться по шкале от 0 до 5. Как это справедливо для бухгалтерской и аудиторской деятельности в целом, здесь также потребуется профессиональная оценка для того, чтобы сделать вывод, что общая оценка представляет собой «успех» либо же «провал» для всей системы IT контроля в целом.

Представьте, например, что финансовый директор некой производственной компании использует «Основы» COSO, чтобы убедиться в эффективности систем внутреннего контроля на предприятии. Этот финансовый директор (контролер либо просто внутренний аудитор) может использовать приведенную выше схему для получения представления обо всей системе устройств IT-контроля в компании. Хотя некоторые организации применяют принципы COSO только лишь для контроля своей внешней отчетности, недавно пересмотренная версия** 2013 года может использоваться в самых разных направлениях операционной деятельности, внутренней и нефинансовой отчетности, даже в таких специфических областях как корпоративная почта, оплата, подбор персонала или отдельные производственные процессы.

С помощью приведенной схемы финансовый директор, бухгалтерский или аудиторский персонал могут анализировать IT приложения в компании и общие рычаги контроля их эффективности. Обеспечивает ли система надлежащую документацию и оформление процедур авторизации, проверки, физического контроля, устранения ошибок? Достаточно ли хорошо защищен доступ сотрудников к базам данных заработной платы и бонусов? На эти вопросы вполне можно найти четкий ответ.

Технологии продолжают развиваться и внедряться в бизнес-процессы. Одновременно с этим принципы COSO и далее служат полезным руководством для эффективного контроля. Правильное применение 11-го Принципа – важный шаг на пути к реализации устойчивой СВК.


Теги: СВК  COSO  внутренний контроль  IT  внешняя отчетность системы внутреннего контроля  информационные системы  Комитет спонсорских организаций Комиссии Тредвея  внутренние аудиторы  система внутреннего контроля  внешняя отчетность  IT-приложения