XIII Международная студенческая научная конференция Студенческий научный форум - 2021

В современных реалиях мир столкнулся с неожиданной проблемой – пандемией короновирусной инфекции (COVID-19 - аббревиатура от английского Corona Virus Disease), которая полностью изменила привычный ритм жизни почти каждого жители нашей планеты: многие страны объявляли локдаун, были приостановлены пассажирские и грузовые авиаперевозки и многое другое [1, с. 261].

Последствия COVID-19 имели свое влияние и на системы внутреннего контроля и процессы по аудиту. Основное – это сокращение персонала и его дистанционная работа, что в свою очередь имеет следующие последствия:

1. Ограниченный доступ к информации, используемой в рамках контроля, или ее недостаточная надежность;

2. Ненадлежащая структура некоторых средств контроля по причине отсутствия требуемого разделения обязанностей в условиях сокращения числа работников;

3. Неприменимость некоторых средств контроля, предусмотренных разработанной структурой контроля, поскольку ответственные работники работают дистанционно (удаленно) или соответствующие контрольные функции не выполняются в связи с сокращением штата клиента по аудиту;

4. Перераспределение сфер ответственности или отсутствие персонала и связанные с этим изменения в функционировании средств контроля, значимых для аудита;

5. Ненадлежащее разделение обязанностей и прав доступа к данным [2, с. 225].

Для того чтобы проверить насколько выстроенная система четко работает в новых условиях можно применить такой метод как анкетирование. Из-за пандемии многим компаниям пришлось быстро переходить на информационные технологии, что в свою очередь привело к новой проблеме - информационной безопасности.

Анкета для оценки эффективности внедренных IT-технологий и кибербезопасности может включать следующие направления:

1. Политика безопасности и оснащенности;

2. Конфиденциальность данных;

3. Решение удаленного доступа;

4. Конечные устройства пользователя;

5. Мониторинг;

6. Третьи стороны, оказывающие поддержку;

7. Аварийное восстановление;

8. Управление киберинцидентами;

9. Непрерывность бизнеса;

10. Коммуникации.

Данную анкету можно использовать с одинаковым успехом для оценки внутренних рисков компаний по аудиту, так и для оценки рисков клиентов данных компаний.

Так анкета может опираться на следующие блоки, которые связаны с рисками изменения в IT-системах и в средствах контроля за такими системами:

1. Клиент по аудиту запланировал или находится в процессе работ по внедрению IT-систем?

2. IT-системы клиента по аудиту в значительной степени зависят от небольшого числа ключевых лиц?

3. IT-системы клиента по аудиту в значительной степени зависят от автоматизированных средств контроля, предполагающих частые изменения системной конфигурации или кодов в рамках стандартных операционных процедур?

4. Существенные IT-функции переданные на аутсорсинг?

5. Деятельность клиента по аудиту в значительной степени от IT-систем, и при этом их средства контроля функционируют в нескольких местах, включая общие центры обслуживания? [3, с. 64]

Приведем также для примера вопросы из раздела «Решение удаленного доступа»:

1. Есть ли у пользователей удаленный доступ ко всем критически важным для бизнеса приложениям?

2. Были ли реализованы надежные пароли?

3. Имеется ли у организации адекватная защита от отказа в обслуживание на уровне сетевого устройства и/или Интернет-провайдера?

4. Обеспечивается ли шифрование адекватного уровня?

5. Проводилось ли сканирование сетевых уязвимостей на вашем брандмауэре и VPN решений за последние 6 месяцев?

6. Обновляется ли существующие решение для удаленного доступа за счет последних исправлений уязвимостей?

7. Способны ли существующие решение для удаленной работы и сетевая инфраструктура предоставлять адекватные бизнес-услуги в течение длительного периода времени (с точки зрения увеличения количества подключений, лицензий, производительности и пропускной способности сети)? [4, с. 11].

Аудитору целесообразно принять во внимание следующие факторы:

1. Дополнительное время для обновления ранее полученного понимания процесса подготовки бухгалтерской отчетности, соответствующих бизнес-процессов и контрольной среды аудируемого лица, а также для оценки структуры и внедрения новых или модифицированных средств контроля;

2. Возможные изменения в оценке аудитором неотъемлемого риска существенного искажения бухгалтерской отчетности и риска средств контроля;

3. Выявление новых рисков (например, связанные с внедрением или изменением в IT-системам, в которых хранятся финансовые данные или которые обеспечиваются средствами контроля, значимыми для целей подготовки бухгалтерской отчетности).

4. Возрастание риска действий руководства клиента по аудиту в обход средств контроля.

Все эти риски, которые возникли с таким массовым внедрением информационных технологий, приводят к:

1. изменению характера, сроков и объема запланированных процедур проверки по существу для получения аудиторских доказательств:

2. ограничению/исключению возможности полагаться на определенные контрольные действия [5, с. 154].

Также важно понимать какие действия должен предпринять аудитор в отношении информации, полученной в электронной форме:

1. Сверка информации (выборочно) с данными ее источника – для подтверждения действительности;

2. получение доступа в режиме чтения к внутренним системам аудируемого лица и изучение соответствующей информации – для подтверждения ее полноты и точности;

3. наблюдение за созданием работниками клиента по аудиту информации из данных ее источника и направлением этой информации аудитору (с помощью удаленной демонстрации экрана монитора);

4. подтверждение внешней информации непосредственно соответствующей третьей стороной;

5. получение понимания процесса подготовки информации;

6. получение понимания внедренных средств контроля подготовки и хранения данных;

7. удаленная инспекция документации в бумажной форме во время сеансов связи с работниками клиента по аудиту.

Аудиторам также весьма важно:

1. Проверять соответствия адреса электронной почты отправителя информации данным, размещенным на веб-сайте аудируемого лица или представленным на визитной карточке соответствующего лица;

2. Устанавливать техническими средствами наличия и реализации права доступа к совместно используемому веб-сайту или иному веб-пространству только уполномоченным представителем клиента по аудиту;

3. Подтверждать звонками по телефону, что информация, отправленная по электронном почте или переданная другим способом в электронной форме, была предоставлена данной стороной.

Таким образом, риски, которые связаны с COVID-19 могут привести к достаточно тяжелым последствиям, как для аудиторов, так и для компаний. 2020 год поспособствовал построению процесса работы в аудиторской компании абсолютно по-новому. К сожалению, не все компании были готовы к изменению аудиторского процесса, что повлекло определенные риски.

Список литературы:

1. Солдатова С. С., Пивкина К. Р. Экономические последствия пандемии «COVID-19» для России // StudNet.- 2020.- №2. -C. 260-265.

2. Расулев А. Информационная безопасность в условиях пандемии коронавируса // Review of law sciences. -2020. - №5. С. 224-228.

3. Сафонова М.Ф., Ципляева С.А. Кибербезопасность: проблемы и решения // Естественно-гуманитарные исследования.- 2019.- №24(2).- С. 63-68.

4. Кучкарова Ф. М., Мухаммаджонов Х. З. У. Информационная безопасность: современные реалии // Вопросы науки и образования. -2018. - №5(17) - С. 10-14.

5. Галиева Р. Р. Влияние COVID-19 и текущей экономической ситуации на проведение аудита // StudNet.- 2020.- №8. -С. 153-157.

Код для цитирования: Скопировать