Издания и мероприятия для банковских специалистов:
 
Методический журнал
МСФО и МСА в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2003 г.
 
 

Как оценить влияние факторов IT-среды на риск искажения информации в отчетности?

Размещено на сайте 28.03.2016
IT-среда неизбежно является источником рисков существенного искажения информации, что необходимо учитывать при проведении финансового аудита кредитной организации. Как определить уровень доверия к информации из различных информационных систем, ее соответствие нормативным документам и внутренним политикам, не прибегая к тотальному анализу и пересчету всех данных? Как правильно составить программу аудита IT-среды и избежать ненужных расходов на привлечение специализированного аудитора IT-систем?
 
Михаил ВИННИКОВ, консультант по IT-системам
 
 
Приводятся извлечения из статьи. Полную версию материала читайте в журнале. Подписаться
 
 
Оценка контрольной среды позволяет определить уровень доверия к предоставленной информации, ее соответствие нормативным документам и внутренним политикам, не прибегая к их тотальному анализу и пересчету.
Сложная для глубокого понимания как пользователями, так и аудиторами IT-среда требует формализованного подхода к проведению контрольных и аудиторских процедур для конт­роля и минимизации рисков искажения содержащейся в IT-системах и предоставляемой для аудита инфор­мации.
Любые информационные системы обладают набором как положительных, так и отрицательных факторов, влияющих на уровень рисков искажения информации.
Оценки соответствия СТО БР ИББС-1.0 или ГОСТ ИСО/МЭК 27001 недостаточно для оценки всех рисков IT-среды и их влияния на аудит. Как правило, заслуженные высокие оценки таких проверок говорят об относительном порядке в управлении IT и ИБ, а справедливые низкие — о беспорядке и в остальных частях IT-среды.
Как правило, в выпол-нении определенных функций могут быть задействованы несколько ИС, поэтому соответствие между функциями, ИС и аудиторскими процедурами легче всего представить в виде матрицы соответствия.
Роли операционных работников и авторизация к ним пользователей не должны совмещать операции ввода и последконтроля транз­акций, чтобы один пользователь мог инициировать и завершить такую транзакцию.
Чем больше при анализе ИС выявлено факторов, повышающих уровень рисков существенного искажения информации, тем более внимательнее следует отнестись к проверке алгоритмов обработки предоставляемой информации и объемам выборок для аудиторской проверки.
 
 
 
 
Другие проекты группы «Регламент-Медиа»