В современных реалиях мир столкнулся с неожиданной проблемой – пандемией короновирусной инфекции (COVID-19 - аббревиатура от английского Corona Virus Disease), которая полностью изменила привычный ритм жизни почти каждого жители нашей планеты: многие страны объявляли локдаун, были приостановлены пассажирские и грузовые авиаперевозки и многое другое [1, с. 261].
Последствия COVID-19 имели свое влияние и на системы внутреннего контроля и процессы по аудиту. Основное – это сокращение персонала и его дистанционная работа, что в свою очередь имеет следующие последствия:
1. Ограниченный доступ к информации, используемой в рамках контроля, или ее недостаточная надежность;
2. Ненадлежащая структура некоторых средств контроля по причине отсутствия требуемого разделения обязанностей в условиях сокращения числа работников;
3. Неприменимость некоторых средств контроля, предусмотренных разработанной структурой контроля, поскольку ответственные работники работают дистанционно (удаленно) или соответствующие контрольные функции не выполняются в связи с сокращением штата клиента по аудиту;
4. Перераспределение сфер ответственности или отсутствие персонала и связанные с этим изменения в функционировании средств контроля, значимых для аудита;
5. Ненадлежащее разделение обязанностей и прав доступа к данным [2, с. 225].
Для того чтобы проверить насколько выстроенная система четко работает в новых условиях можно применить такой метод как анкетирование. Из-за пандемии многим компаниям пришлось быстро переходить на информационные технологии, что в свою очередь привело к новой проблеме - информационной безопасности.
Анкета для оценки эффективности внедренных IT-технологий и кибербезопасности может включать следующие направления:
1. Политика безопасности и оснащенности;
2. Конфиденциальность данных;
3. Решение удаленного доступа;
4. Конечные устройства пользователя;
5. Мониторинг;
6. Третьи стороны, оказывающие поддержку;
7. Аварийное восстановление;
8. Управление киберинцидентами;
9. Непрерывность бизнеса;
10. Коммуникации.
Данную анкету можно использовать с одинаковым успехом для оценки внутренних рисков компаний по аудиту, так и для оценки рисков клиентов данных компаний.
Так анкета может опираться на следующие блоки, которые связаны с рисками изменения в IT-системах и в средствах контроля за такими системами:
1. Клиент по аудиту запланировал или находится в процессе работ по внедрению IT-систем?
2. IT-системы клиента по аудиту в значительной степени зависят от небольшого числа ключевых лиц?
3. IT-системы клиента по аудиту в значительной степени зависят от автоматизированных средств контроля, предполагающих частые изменения системной конфигурации или кодов в рамках стандартных операционных процедур?
4. Существенные IT-функции переданные на аутсорсинг?
5. Деятельность клиента по аудиту в значительной степени от IT-систем, и при этом их средства контроля функционируют в нескольких местах, включая общие центры обслуживания? [3, с. 64]
Приведем также для примера вопросы из раздела «Решение удаленного доступа»:
1. Есть ли у пользователей удаленный доступ ко всем критически важным для бизнеса приложениям?
2. Были ли реализованы надежные пароли?
3. Имеется ли у организации адекватная защита от отказа в обслуживание на уровне сетевого устройства и/или Интернет-провайдера?
4. Обеспечивается ли шифрование адекватного уровня?
5. Проводилось ли сканирование сетевых уязвимостей на вашем брандмауэре и VPN решений за последние 6 месяцев?
6. Обновляется ли существующие решение для удаленного доступа за счет последних исправлений уязвимостей?
7. Способны ли существующие решение для удаленной работы и сетевая инфраструктура предоставлять адекватные бизнес-услуги в течение длительного периода времени (с точки зрения увеличения количества подключений, лицензий, производительности и пропускной способности сети)? [4, с. 11].
Аудитору целесообразно принять во внимание следующие факторы:
1. Дополнительное время для обновления ранее полученного понимания процесса подготовки бухгалтерской отчетности, соответствующих бизнес-процессов и контрольной среды аудируемого лица, а также для оценки структуры и внедрения новых или модифицированных средств контроля;
2. Возможные изменения в оценке аудитором неотъемлемого риска существенного искажения бухгалтерской отчетности и риска средств контроля;
3. Выявление новых рисков (например, связанные с внедрением или изменением в IT-системам, в которых хранятся финансовые данные или которые обеспечиваются средствами контроля, значимыми для целей подготовки бухгалтерской отчетности).
4. Возрастание риска действий руководства клиента по аудиту в обход средств контроля.
Все эти риски, которые возникли с таким массовым внедрением информационных технологий, приводят к:
1. изменению характера, сроков и объема запланированных процедур проверки по существу для получения аудиторских доказательств:
2. ограничению/исключению возможности полагаться на определенные контрольные действия [5, с. 154].
Также важно понимать какие действия должен предпринять аудитор в отношении информации, полученной в электронной форме:
1. Сверка информации (выборочно) с данными ее источника – для подтверждения действительности;
2. получение доступа в режиме чтения к внутренним системам аудируемого лица и изучение соответствующей информации – для подтверждения ее полноты и точности;
3. наблюдение за созданием работниками клиента по аудиту информации из данных ее источника и направлением этой информации аудитору (с помощью удаленной демонстрации экрана монитора);
4. подтверждение внешней информации непосредственно соответствующей третьей стороной;
5. получение понимания процесса подготовки информации;
6. получение понимания внедренных средств контроля подготовки и хранения данных;
7. удаленная инспекция документации в бумажной форме во время сеансов связи с работниками клиента по аудиту.
Аудиторам также весьма важно:
1. Проверять соответствия адреса электронной почты отправителя информации данным, размещенным на веб-сайте аудируемого лица или представленным на визитной карточке соответствующего лица;
2. Устанавливать техническими средствами наличия и реализации права доступа к совместно используемому веб-сайту или иному веб-пространству только уполномоченным представителем клиента по аудиту;
3. Подтверждать звонками по телефону, что информация, отправленная по электронном почте или переданная другим способом в электронной форме, была предоставлена данной стороной.
Таким образом, риски, которые связаны с COVID-19 могут привести к достаточно тяжелым последствиям, как для аудиторов, так и для компаний. 2020 год поспособствовал построению процесса работы в аудиторской компании абсолютно по-новому. К сожалению, не все компании были готовы к изменению аудиторского процесса, что повлекло определенные риски.
Список литературы:
1. Солдатова С. С., Пивкина К. Р. Экономические последствия пандемии «COVID-19» для России // StudNet.- 2020.- №2. -C. 260-265.
2. Расулев А. Информационная безопасность в условиях пандемии коронавируса // Review of law sciences. -2020. - №5. С. 224-228.
3. Сафонова М.Ф., Ципляева С.А. Кибербезопасность: проблемы и решения // Естественно-гуманитарные исследования.- 2019.- №24(2).- С. 63-68.
4. Кучкарова Ф. М., Мухаммаджонов Х. З. У. Информационная безопасность: современные реалии // Вопросы науки и образования. -2018. - №5(17) - С. 10-14.
5. Галиева Р. Р. Влияние COVID-19 и текущей экономической ситуации на проведение аудита // StudNet.- 2020.- №8. -С. 153-157.