Автор: Джон Уайт (John White) CPA/CITP, PH.D
Источник: Journal of Accountancy
Перевод: GAAP.RU
Фото: http://www.pressfoto.ru
11-й Принцип популярных «Основ» действительно может помочь с управлением системами
Организация качественного контроля информационных систем – постоянная головная боль для бизнеса по мере того, как он пытается использовать технологические преимущества для обеспечения эффективности и роста.
Принцип 11 не так давно обновленного руководства* по внутреннему контролю от Комитета спонсорских организаций (COSO) Комиссии Тредвея содержит указание для оценки эффективности контроля IT (см. иллюстрацию). Как часть общей оценки организацией своего внутреннего контроля в соответствии с этим руководством, Принцип 11 может помочь бухгалтерам и внутренним аудиторам с быстрым развитием технологий, использующихся их организациями.
Данная иллюстрация показывает шаги, которые могут предпринять профессиональные бухгалтеры и внутренние аудиторы в компаниях, применяя 11-й Принцип к IT-системам своих организаций и оценивая эффективность рычагов контроля. Как можно легко убедиться, это довольно общая схема, чтобы ее можно было использовать в любом бизнесе – большом и малом, сложном и не очень.
Принцип 11 COSO
Данный принцип обновленного руководства по внутреннему контролю от Комитета спонсорских организаций Комиссии Тредвея содержит указания для оценки эффективности контроля ИТ. Принцип 11 говорит, что организация должна отбирать и развивать деятельность общего контроля технологий для обеспечения достижения поставленных задач. В качестве основного этот принцип подразумевает, что организация обязана:
- Определять зависимость между использованием технологии в бизнес-процессе и общими рычагами контроля технологий
- Создавать адекватную инфраструктуру контроля технологий
- Вводить адекватный процесс контроля безопасности
- …И не менее адекватный процесс контроля приобретения технологий, их развития и поддержания в надлежащем состоянии
Первый шаг – это получение представления об использующейся технологии, в том числе:
- Ее инфраструктуре и компонентах
- Конечных точках обработки (ноутбуки, мобильные устройства, таблицы)
- IT-приложения, отсылаемые на аутсорсинг в «облака» и другим сторонним поставщикам услуг
- Как происходит управление функцией данной технологии на предприятии
Понимание этих четырех областей обеспечивается процедурами, описанными в аудиторском стандарте от AICPA: Clarified Auditing Standard AU-C Section 314, «Understanding the Entity and Its Environment and Assessing the Risk of Material Misstatement» («Понимание особенностей организации и окружения и оценка риска существенного расхождения»):
- Опрос персонала
- Аналитические процедуры
- Наблюдение за процессами
- Инспекция документов и документации
Последние четыре шага (см. таблицу) показывает анализ прикладных устройств и оценку рисков обработки информации, с которыми они связаны, а далее – анализ общего контроля технологий, которые защищают прикладные устройства. В конечном итоге аудитор будет использовать систему процедур, с помощью которой будет присваивать вероятностные значения обнаружению/необнаружению и/или корректировке ошибки/отсутствию корректировки устройством контроля.
Последний шаг предполагает использование матрицы устройств контроля (скорее всего, в виде таблицы) и модели развития, а уровень контроля будет определяться по шкале от 0 до 5. Как это справедливо для бухгалтерской и аудиторской деятельности в целом, здесь также потребуется профессиональная оценка для того, чтобы сделать вывод, что общая оценка представляет собой «успех» либо же «провал» для всей системы IT контроля в целом.
Представьте, например, что финансовый директор некой производственной компании использует «Основы» COSO, чтобы убедиться в эффективности систем внутреннего контроля на предприятии. Этот финансовый директор (контролер либо просто внутренний аудитор) может использовать приведенную выше схему для получения представления обо всей системе устройств IT-контроля в компании. Хотя некоторые организации применяют принципы COSO только лишь для контроля своей внешней отчетности, недавно пересмотренная версия** 2013 года может использоваться в самых разных направлениях операционной деятельности, внутренней и нефинансовой отчетности, даже в таких специфических областях как корпоративная почта, оплата, подбор персонала или отдельные производственные процессы.
С помощью приведенной схемы финансовый директор, бухгалтерский или аудиторский персонал могут анализировать IT приложения в компании и общие рычаги контроля их эффективности. Обеспечивает ли система надлежащую документацию и оформление процедур авторизации, проверки, физического контроля, устранения ошибок? Достаточно ли хорошо защищен доступ сотрудников к базам данных заработной платы и бонусов? На эти вопросы вполне можно найти четкий ответ.
Технологии продолжают развиваться и внедряться в бизнес-процессы. Одновременно с этим принципы COSO и далее служат полезным руководством для эффективного контроля. Правильное применение 11-го Принципа – важный шаг на пути к реализации устойчивой СВК.