- •Регуляторні чинники
- •Процес оцінки ризиків суб'єкта господарювання
- •Заходи контролю
- •Моніторинг заходів контролю
- •Документація
- •Міжнародний стандарт аудиту 330 “Дії аудитора у відповідь на оцінені ризики”
- •Розробляючи подальші аудиторські процедури, аудитор повинен:
- •Тести заходів контролю
- •Характер та обсяг тестів заходів контролю
- •Характер послуг, що надаються відповідною організацією
- •Прикладами послуг, що стосуються аудиту та надаються зовнішніми організаціями, можуть бути:
Заходи контролю
У цілому заходи контролю, які можуть бути важливими для аудиту, можна віднести до категорій політики і процедур, що пов'язані з таким:
• Огляди результатів. Ці заходи контролю включають огляди й аналізи фактичних результатів порівняно з бюджетами, прогнозами та результатами протягом попередніх періодів; прив'язку різних наборів даних – робочих чи фінансових – між собою, разом із аналізами відносин та діями з дослідження і виправлення недоліків; порівняння внутрішніх даних із зовнішніми джерелами інформації; огляд функціональних показників або показників діяльності.
• Обробка інформації. Двома великими групами засобів контролю щодо інформаційних систем є засоби контролю прикладних програм, які застосовуються до обробки окремих прикладних програм, та загальні засоби контролю ІТ, які є політиками і практиками, пов’язаними з багатьма прикладними програмами та які забезпечують ефективне функціонування засобів контролю прикладних програм, допомагаючи забезпечити подальшу належну роботу інформаційних систем. Приклади засобів контролю прикладних програм включають перевірку арифметичної точності записів, ведення та огляд залишків на рахунках і перевірочних балансів, автоматизовані засоби контролю, такі як вхідна перевірка вхідних даних і числової послідовності, та ручне ведення звітів про винятки. Прикладами загальних засобів контролю ІТ є засоби контролю зміни програм, засоби контролю, які обмежують доступ до програм або даних, засоби контролю за реалізацією нових версій пакетних прикладних програм та засоби контролю за системним програмним забезпеченням, які обмежують доступ або ведуть моніторинг використання системних прикладних програм, що можуть змінити фінансові дані або записи без виходу з журналу аудиту.
• Фізичні заходи контролю. Заходи контролю, які охоплюють:
– фізичний захист активів, включаючи відповідні захисні заходи, такі як захищені від доступу до активів та записів об’єкти;
– надання дозволів на доступ до комп’ютерних програм і файлів даних;
– періодичний підрахунок та порівняння із сумами, наведеними у контрольних записах (наприклад, порівняння результатів підрахунків грошових коштів, цінних паперів і матеріальних ресурсів із обліковими записами).
Рівень важливості фізичних заходів контролю, призначених для запобігання викраденню активів, для достовірності фінансової звітності і відповідно аудиту, залежить від обставин, наприклад коли активи є дуже вразливими до незаконного заволодіння.
• Розподіл обов'язків. Призначення різних людей відповідальними за надання дозволів щодо операцій, реєстрації операцій та забезпечення збереження активів. Розподіл обов'язків призначений для зменшення можливостей, які дають змогу будь-якій особі обіймати посаду, що дозволяє їй робити та приховувати помилки або шахрайські дії у звичайному ході виконання своїх обов’язків.
Певні заходи контролю можуть залежати від існування відповідних політик вищого рівня, встановлених управлінським персоналом або тими, кого наділено найвищими повноваженнями. Наприклад, заходи контролю за паданням дозволів можуть делегуватися відповідно до встановлених принципів, таких як інвестиційні критерії, визначені тими, кого наділено найвищими повноваженнями; або навпаки, незвичайні операції, такі як великі придбання або відчуження, можуть потребувати особливих дозволів вищого рівня, включаючи в деяких випадках дозволи акціонерів.