Обнародовано информационное сообщение об использовании субъектами аудиторской деятельности (САД) программного обеспечения, разработанного на платформах 1С и BAS, при оказании аудиторских услуг.
Документ подготовлен в связи с решениями уполномоченных органов государственной власти об ограничении использования отдельных программных продуктов из-за потенциальных рисков безопасности.
Почему вопрос использования 1С и BAS является актуальным для аудиторов
В связи с обнародованием Государственной службой специальной связи и защиты информации Украины перечня программного обеспечения, запрещенного к использованию в органах государственной власти, органах местного самоуправления, на государственных предприятиях и у операторов критической инфраструктуры, особое внимание уделено продуктам, разработанным на платформах 1С и BAS.
Некоторые субъекты аудиторской деятельности (САД) используют соответствующее программное обеспечение для:
- планирования и выполнения аудиторских процедур;
- формирования и хранения аудиторской документации;
- обработки учетно-аналитической информации клиентов;
- сохранения копий первичных документов, договоров, регистров бухгалтерского учета.
Такая информация может содержать конфиденциальные данные или информацию с ограниченным доступом, что повышает требования к безопасности технологических ресурсов аудиторской фирмы.
Требования МСУЯ 1 к технологическим ресурсам аудиторской фирмы
Технологические ресурсы как элемент системы управления качеством
В соответствии с МСУЯ 1 программное обеспечение, используемое аудиторской фирмой, является частью ее технологических ресурсов и должно соответствовать установленным целям качества.
В частности:
- параграф 32(f) МСУЯ 1 — технологические ресурсы должны приобретаться, внедряться, поддерживаться и использоваться таким образом, чтобы обеспечивать функционирование системы управления качеством и надлежащее выполнение заданий;
- параграф 32(h) МСУЯ 1 — ресурсы поставщиков должны быть пригодными для использования в системе управления качеством с учетом установленных целей качества;
- параграф 25 МСУЯ 1 — САД обязан идентифицировать и оценивать риски качества и формировать соответствующие меры реагирования.
Основные риски при использовании 1С и BAS в аудиторской деятельности
Среди ключевых вызовов, которые должны быть учтены в системе управления качеством:
- возможный несанкционированный доступ к данным;
- контроль обновлений программного обеспечения;
зависимость от поставщиков; - угрозы конфиденциальности и целостности информации;
- потенциальные репутационные риски аудиторской фирмы.
С учетом решений уполномоченных органов об ограничении использования 1С и BAS из-за рисков безопасности такие обстоятельства должны быть надлежащим образом оценены САД.
Рекомендуемые действия для субъектов аудиторской деятельности
1) Провести повторную оценку рисков качества
- пересмотреть риски, связанные с обеспечением конфиденциальности и безопасности информации;
- при необходимости усилить меры реагирования;
- актуализировать политики информационной безопасности.
2) Ограничить использование 1С и BAS в чувствительных сегментах
Целесообразно воздержаться от использования программного обеспечения, созданного на базе 1С или BAS, для обработки и хранения информации клиентов, относящихся к органам государственной власти, органам местного самоуправления, государственным предприятиям, операторам критической инфраструктуры, субъектам оборонно-промышленного комплекса.
Влияние на систему управления качеством и профессиональную этику
Соблюдение требований МСУЯ 1, законодательства в сфере защиты информации и принципов профессиональной этики является ключевым фактором обеспечения качества аудиторских услуг.
Использование технологических ресурсов с повышенными рисками безопасности без надлежащей оценки может:
- создавать критические факторы несоответствия системы управления качеством;
- повышать регуляторные риски;
- негативно влиять на репутацию аудиторской фирмы.
Часто задаваемые вопросы
Запрещено ли аудиторам использовать 1С или BAS?
Информационное сообщение не устанавливает прямого общего запрета для всех САД, но подчеркивает необходимость надлежащей оценки рисков качества и безопасности.
Нужно ли пересматривать систему управления качеством?
Да. Если программное обеспечение на базе 1С или BAS используется в процессе аудита, целесообразно провести повторную оценку рисков в соответствии с МСУЯ 1.
Какие клиенты являются наиболее рискованными в данном контексте?
Органы государственной власти, государственные предприятия, операторы критической инфраструктуры и субъекты оборонно-промышленного комплекса.
