IIA дает рекомендации по внутреннему контролю информационных технологий

Международный Институт внутренних аудиторов (Institute of Internal Auditors, IIA) – выпустил методологическое руководство для менеджеров компаний, а также осуществляющих проверку аудиторов и регулирующих организаций по определению ключевых рычагов контроля в сфере IT-деятельности организаций. В ходе предварительно проведенного исследования выяснилось, что значительная часть издержек, затрачиваемых компаниями на выполнение требований 404-й секции (по внутреннему контролю) Акта Сэрбейнса-Оксли, относятся к информационным технологиям и проверке соответствующих рычагов контроля, которые обеспечивают эффективное функционирование информационных систем, а также служат для сохранности информации и предотвращения неавторизованного доступа к ней. Для устранения возможных неясностей Институт опубликовал на своем сайте представляющий практический интерес документ «Guide to the Assessment of IT General Controls Scope Based on Risk (“GAIT»)” («Руководство по определению общих рычагов контроля в области ИТ – подход с позиции рисковой составляющей» – прим. пер.). Разработка документа осуществлялась на протяжении 18 месяцев, непосредственную помощь оказали около 30 экспертов в области аудита IT и других смежных направлений деятельности компаний.

Ключевые положения по аудиту формулируются следующим образом:

• Анализ рычагов внутреннего контроля производится на постоянной основе с позиции рисковой составляющей и с применением подхода «сверху вниз» (top-down approach).
• Рисками, нуждающимися в идентификации для последующего определения рычагов контроля являются те, что могут повлиять на функциональность значимого с позиции финансового состояния компании программного обеспечения и соответствующих информационных данных.
• Необходимые для проведения идентификации риски возникают вследствие функционирования информационных систем и «гнездятся» в самых разных компонентах этих систем: это могут быть базы данных, программный код, операционные системы, сеть и т.д.
• Смягчение и даже полное устранение рисков производится за счет достижения поставленных целей внутреннего контроля, а не за счет простого существования отдельных рычагов внутреннего контроля.

Документ находится в свободном доступе на официальном сайте Института внутренних аудиторов.

______________________________

• Международный Институт внутренних аудиторов (Institute of Internal Auditors, IIA). Основанная в 1941, организация на сегодняшний день включает в себя более 122 000 членов. Главный офис расположен в Альтамонт-Спрингс, пригороде Орландо (шт. Флорида). Основная цель – продвижение высоких стандартов внутреннего аудита в мире. Разрабатывает и предоставляет соответствующие программы образования. http://www.theiia.org