РОЗДІЛ 7 ПМПА 1013 Електронна комерція: вплив на аудиторську перевірку фінансових звітів

(чинне Положення) ЗМІСТ

Параграф

Вступ                                                                                                                                   1—5

Навички та знання                                                                                                             6—7

Знання бізнесу                                                                                                                  8—18

Визначення ризиків                                                                                                       19—24

Міркування щодо внутрішнього контролю                                                                25—34

Вплив електронних записів на аудиторські докази                                                     35—36

Положення з міжнародної практики аудиту (ПМПА) 1013 "Електронна комерція: вплив на аудиторську перевірку фінансових звітів" слід розуміти в контексті "Передмови до міжнародних стандартів контролю якості, аудиту, огляду, інших завдань з надання впевненості та супутніх послуг", де вказано застосування та статус ПМПА.

Це Положення надає:

а)         рекомендації щодо застосування МСА, коли суб'єкт господарювання використовує загальнодоступну мережу, наприклад, Інтернет, для електронної комерції; та

б)         матеріали для підвищення обізнаності з проблемами аудиту фінансових звітів у цій сфері, що швидко розвивається.

Це положення було затверджено КМПА для публікації в березні 2002 р.

- Вступ

1 В цьому ПМПА використовується термін "електронна комерція". В такому ж контексті широко використовується також й термін "е-бізнес". Ці терміни на мають загально прийнятого визначення, тому обидва терміни часто вживаються як синоніми. Якщо ж їх розрізняти, то "е-комерція" деколи стосується лише операційної діяльності (наприклад, закупки та продаж товарів або послуг), в той час, коли "е-бізнес" стосується ділової активності в цілому, як операційної, так й неопераційної діяльності, наприклад, стосунків та зв'язків з громадськістю.

2 МСА 300 "Планування" відкликано в грудні 2004 р. після набуття чинності МСА 300 "Планування аудиту фінансових звітів".

3 МСА 310 "Знання бізнесу" відкликано в грудні 2004 р. після набуття чинності МСА 315 «Розуміння суб'єкту господарювання та його середовища та оцінка ризиків суттєвих викривлень».

4 МСА 400 "Оцінка ризиків та внутрішній контроль" відкликано в грудні 2004 р. після набуття чинності МСА 315 "Розуміння суб'єкту господарювання та його середовища та оцінка ризиків суттєвих викривлень" та МСА 330 "Аудиторські процедури відповідно до оцінених ризиків".


1.              Мета цього Положення з міжнародної практики аудиту - надати рекомендації для допомоги аудиторам фінансових звітів, суб'єктів господарювання, що займаються комерційною діяльністю, здійснюючи її за допомогою комп'ютерів, підключених до загальнодоступної мережі, наприклад Інтернету (е-комерцією1). Рекомендації цього Положення особливо стосуються застосування МСА 300 "Планування"2, МСА 310 "Знання бізнесу"3 та МСА 400 "Оцінка ризиків та внутрішній контроль"4.

2.              Це Положення визначає конкретні питання для допомоги аудиторам у розгляді важливості е-комерції для ділових операцій суб'єкта господарювання та впливу е-комерції на оцінки ризику аудиторами з метою формування думки про фінансові звіти. Метою розгляду аудитором не є формування думки або надання консультаційних порад відносно систем е-комерції суб'єкта господарювання або діяльності щодо їхньої правильності.

3.              Комунікації та операції в мережах та через комп'ютери - це не нові риси ділового середовища. Наприклад, процеси бізнесу часто пов'язані з взаємодією з дистанційним комп'ютером, застосуванням комп'ютерних мереж чи електронним обміном даними (ЕОД). Проте все більше застосування Інтернету для е-комерції - бізнесу для споживача, бізнесу для бізнесу, бізнесу для уряду та бізнесу для працівника - вводить нові елементи ризику, які слід враховувати суб'єктові господарювання та розглядати аудиторові при плануванні та здійсненні аудиторської перевірки фінансових звітів.

4.              Інтернет - всесвітня комп'ютерна мережа, яка є єдиною спільно використовуваною загальнодоступною мережею, що уможливлює обмін інформацією з іншими суб'єктами господарювання та окремими особами в усьому світі. Тобто надає можливість взаємодії мереж, що означає, що через будь-який комп'ютер, з'єднаний з Інтернетом, можна обмінюватися інформацією з будь-яким іншим комп'ютером, з'єднаним з Інтернетом. Інтернет на відміну від приватної мережі, яка дозволяє доступ лише тим особам чи суб'єктам господарювання, які мають на це повноваження, є загальнодоступною мережею. Використання загальнодоступної мережі вводить особливі ризики, які слід враховувати суб'єктові господарювання. Збільшення Інтернет-діяльності без належної уваги до цих ризиків з боку суб'єкта господарювання може впливати на оцінку ризику аудитором.

5.              Це Положення написано для ситуацій, в яких суб'єкт господарювання займається комерційною діяльністю через загальнодоступну мережу, таку як Інтернет, але більшу частину рекомендацій, що міститься в ньому, також можна застосовувати, якщо суб'єкт господарювання використовує приватну мережу. Так само, більша частина цих рекомендацій буде корисною при аудиторській перевірці суб'єктів господарювання, створених в основному для діяльності з е-комерції (які часто називають "dot coms" - організації, що мають лише сайт в Інтернеті), але вони не призначені для розгляду всіх проблем аудиторської перевірки, що враховуватимуться в аудиторській перевірці таких суб'єктів господарювання.

- Навички та знання

Інструкція у сфері міжнародної освіти ІМО 11 "Інформаційні технології в навчальних програмах з бухгалтерського обліку", опублікована Комітетом з питань освіти МФБ, яка визначає докладний зміст, а також конкретні навички та знання, необхідні всім професійним бухгалтерам у зв'язку з ІТ, що


6. Рівень навичок та знань, необхідний для розуміння впливу е-комерції на аудиторську перевірку, змінюватиметься зі складністю діяльності суб'єкта господарювання з е-комерції. Аудитор розглядає, чи має персонал, призначений для виконання аудиторської перевірки, відповідні знання з ГГ5 та Інтернет-бізнесу для виконання аудиторської перевірки. Якщо е-комерція має значний вплив на бізнес суб'єкта господарювання, відповідний рівень знань, як з інформаційних технологій (ІТ), так і з Інтернет-бізнесу, може бути потрібний для:

           розуміння:

о       стратегії та діяльності підприємства з е-комерції;

о технологій, застосовуваних для полегшення діяльності суб'єкта господарювання з е-комерції, та навичок і знань ІТ персоналом суб'єкта господарювання, оскільки вони можуть впливати на фінансові звіти;

о ризиків, пов'язаних із застосуванням е-комерції, та підходу суб'єкта господарювання до управління цими ризиками, зокрема, адекватності системи внутрішнього контролю, включаючи інфраструктуру захищеності та пов'язані з цим заходи контролю, оскільки це впливає на процес фінансової звітності;

                 визначення характеру, часу та обсягу аудиторських процедур та оцінки аудиторських доказів;

                 урахування впливу залежності суб'єкта господарювання від е-комерції та його здатності продовжувати свою діяльність безперервно довго.

7. За деяких обставин аудитор може прийняти рішення використати роботу експерта, наприклад, якщо аудитор вважає доречним тестування заходів контролю, намагаючись проникнути через захисні рівні системи суб'єкта господарювання (тестування захищеності чи можливості проникнення). Якщо застосовується робота експерта, аудитор повинен отримати достатні та відповідні аудиторські докази того, що така робота відповідає цілям аудиторської перевірки відповідно до МСА 620 "Використання роботи експерта". Аудитор розглядає також, як робота експерта поєднується з роботою аудиторського персоналу, який бере участь у проведенні аудиторської перевірки, та які процедури слід здійснити щодо ризиків, визначених внаслідок роботи експерта.

- Знання бізнесу

8.              МСА 310 "Знання бізнесу"6 вимагає від аудитора одержати знання про бізнес в обсязі, достатньому для визначення й розуміння подій, операцій та практики, які можуть суттєво впливати на фінансові звіти або аудиторський висновок. Знання бізнесу складається із загального знання економіки й галузі, в якій діє суб'єкт господарювання. Розвиток е-комерції може мати суттєвий вплив на традиційне бізнес-середовище.

9.              Знання бізнесу аудитором є основним для оцінювання значення е-комерції для ділових операцій суб'єкта господарювання та будь-якого впливу на аудиторський ризик. Аудитор розглядає зміни у бізнес-середовищі суб'єкта господарювання, які можна віднести до наслідків е-комерції, та виявлені ризики е-комерції, оскільки вони впливають на фінансові звіти. Хоча аудитор отримує багато інформації із запитів тих, хто відповідає за фінансову звітність, також може бути корисним запитування персоналу, який безпосередньо займається діяльністю суб'єкта господарювання з е-комерції, наприклад, керівника відділу інформації або подібного службовця, який займає подібну посаду. В процесі одержання чи оновлення знань про бізнес суб'єкта господарювання аудитор, оскільки це впливає на фінансові звіти, розглядає:

                 діяльність   та   галузь   діяльності   суб'єкта   господарювання (параграфи 10-12);

                 стратегію суб'єкта господарювання з е-комерції (параграф 13);

                 обсяг   діяльності   суб'єкта   господарювання   з   е-комерції (параграфи 14-16);

                 домовленості суб'єкта господарювання про залучення сторонніх організацій (параграфи 17-18).

Кожен з цих пунктів розглядається нижче.

- Ділові операції та галузь діяльності суб'єкта господарювання

10.       Діяльність з е-комерції може бути додатковою до традиційної діяльності суб'єкта господарювання. Наприклад, суб'єкт господарювання може користуватися Інтернетом для продажу звичайної продукції (такої як книжки або компакт-диски), які доставляють звичайними способами за контрактом, що виконується в Інтернеті. На відміну від цього е-комерція може являти собою нову

МСА 310 "Знання бізнесу" відкликано в грудні 2004 р. після набуття чинності МСА 315 «Розуміння суб'єкту господарювання та його середовища та оцінка ризиків суттєвих викривлень».

лінію бізнесу і суб'єкт господарювання може використовувати \Veb-вузол як для продажу, так і постачання цифрових виробів через Інтернет.

11.           В Інтернеті відсутні чіткі, встановлені географічні шляхи транспортування, які традиційно були характерними для реальних продажів та купівель багатьох товарів та послуг. У багатьох випадках, особливо коли товари чи послуги можна доставляти через Інтернет, е-комерція змогла зменшити чи усунути багато обмежень, які виникають через час та відстань.

12.           Певні галузі є сприятливішими для використання е-комерції, тому е-комерція в цих галузях знаходиться на більш зрілому етапові розвитку. Якщо на галузь суб'єкта господарювання значно впливає е-комерція через Інтернет, ризики бізнесу, що можуть впливати на фінансові звіти, можуть збільшитися. Приклади галузей, які змінює е-комерція:

                 програмне забезпечення;

                 торгівля цінними паперами;

                 банківська справа;

                 туристичні послуги;

                 книжки та журнали;

                 музичні записи;

                 реклама;

                 інформаційні програми;

                 освіта.

Крім того е-комерція суттєво вплинула на багато інших галузей в усіх секторах діяльності.

- Стратегія суб'єкта господарювання з е-комерції

13.       Стратегія е-комерції суб'єкта господарювання, включаючи спосіб використання ІТ для е-комерції та оцінки прийнятних рівнів ризиків, може впливати на захищеність фінансових облікових документів, а також повноту і достовірність створюваної фінансової інформації. Питання, які можуть бути доречними для аудитора при розгляді стратегії е-комерції суб'єкта господарювання з точки зору розуміння аудитором середовища контролю, такі:

                 участь осіб, яким довірено управління, в об'єднанні діяльності з е-комерції з загальною бізнес-стратегією суб'єкта господарювання;

                 чи підтримує е-комерція новий вид діяльності суб'єкта господарювання, чи вона призначена для підвищення ефективності існуючих видів діяльності або для впливу на нові ринки для існуючих видів діяльності;

                 джерела доходу для суб'єкта господарювання і те, як вони змінюються з використанням е-комерції (наприклад чи буде суб'єкт господарювання діяти самостійно чи як агент з реалізації товарів або послуг);

                 оцінка управлінським персоналом того, як е-комерція впливає на прибутки суб'єкта господарювання та його фінансові потреби;

                 ставлення управлінського персоналу до ризику і до того, як він може вплинути на загальний ризик суб'єкта господарювання,

                 якою мірою управлінський персонал у задокументованій стратегії, підтриманій відповідними заходами контролю, визначив можливості е-комерції та пов'язані з нею ризики, або чи розроблена е-комерція таким чином, що вона може адекватно реагувати на можливості та ризики, якщо такі виникають;

                 зобов'язання управлінського персоналу щодо відповідних кодексів найкращої практики чи програм web-блокування.

- Обсяг діяльності суб'єкта господарювання з е-комерції

14.    Різні суб'єкти господарювання використовують е-комерцію різними способами. Наприклад, е-комерцію можна використати для:

                 надання лише інформації про суб'єкт господарювання та його діяльність, до якої можуть мати доступ треті особи, такі як інвестори, замовники, постачальники, постачальники фінансових послуг та працівники;

                 спрощення операцій з замовниками, які заслуговують на довіру, причому операції здійснюються через Інтернет;

                 набуття доступу до нових ринків та нових клієнтів шляхом надання інформації та обробки операцій через Інтернет;

                 доступу до постачальників послуг з оренди прикладних програм (ASPs);

•       створення зовсім нової моделі бізнесу.

15.           Обсяг застосування е-комерції впливає на характер ризиків, які має розглядати суб'єкт господарювання. Проблеми захищеності можуть виникати тому, що суб'єкт господарювання має web-вузол. Навіть якщо немає інтерактивного доступу третьої сторони, сторінка, що містить лише інформацію, може надати доступ до фінансових документів суб'єкта господарювання. Інфраструктура захищеності та пов'язані з нею заходи контролю мають бути всебічними, якщо для здійснення операцій з діловими партнерами застосовується web-вузол або високоінтегровані системи (див. параграфи 32-34).

16.           Наскільки суб'єкт господарювання більш залучається до е-комерції та наскільки внутрішні системи стають інтегрованішими та складнішими, настільки зростає ймовірність, що нові способи укладання операцій відрізнятимуться від традиційних форм ділових операцій та введуть нові типи ризиків.

- Домовленості суб'єкта господарювання про залучення сторонніх організацій

17.           Багато суб'єктів господарювання не мають технічного досвіду щодо встановлення та експлуатації офісних систем, необхідних для здійснення е-комерції. Такі суб'єкти господарювання залежать від організацій, що надають послуги, наприклад постачальників послуг в Інтернет (ISPs), постачальників послуг з оренди прикладних програм (ASPs) та компаній - постачальників послуг з організації web-вузлів для забезпечення багатьох чи всіх вимог е-комерції до IT. Суб'єкт господарювання може також використовувати організації, що надають послуги, для різних інших функцій у зв'язку з діяльністю з е-комерції, таких як виконання замовлень, доставки товарів, функціонування центрів обробки замовлень та певних облікових функцій.

18.           Якщо суб'єкт господарювання використовує організацію, що надає послуги, певна політика, процедури, та облікові документи, які веде організація, що надає послуги, можуть бути важливими для аудиторської перевірки фінансових звітів суб'єкта господарювання. Аудитор розглядає зовнішні угоди, які застосовує суб'єкт господарювання для визначення того, як реагує суб'єкт господарювання на ризики, що виникають унаслідок залучення сторонніх організацій. MC А 402 "Аудиторські міркування стосовно суб'єктів господарювання, які звертаються до організацій, що надають послуги" надає рекомендації з визначення впливу підприємства, що надає послуги, на ризик контролю.

- Визначення ризиків

19. Управлінський персонал стикається з багатьма бізнес-ризиками, пов'язаними з діяльністю суб'єкта господарювання з е-комерції, включаючи:

                 втрату цілісності інформації про операції, вплив якої може ускладнюватися відсутністю адекватного аудиторського сліду в документі в паперовій чи електронній формі;

                 ризики, пов'язані з забезпеченням всебічної захищеності е-комерції, включаючи вірусні атаки та можливість ошукування суб'єкта господарювання замовниками та іншими особами внаслідок несанкціонованого доступу;

                 невідповідну облікову політику, пов'язану, наприклад, з капіталізацією видатків, таких як витрати на удосконалення \¥еЬ-вузлів, неправильне розуміння складних контрактних угод, ризики передачі права, обмін іноземних валют, резерви на гарантії та повернення товарів, а також проблеми визнання доходу, такі як:

                 чи діє суб'єкт господарювання як власник або як агент, а також чи слід визнавати валову реалізацію або лише комісійні;

                 чи надають іншим суб'єктам господарювання рекламний простір на \¥еЬ-вузлі суб'єкта господарювання, як визначають доходи та розраховуються (наприклад, шляхом використання бартерних операцій);

                 підхід до знижок з обсягу реалізації та початкових пропозицій (наприклад, безплатні товари коштують певну суму);

                 віднесення доходу до певного періоду (наприклад, чи визнаються продажі лише тоді, коли товари доставлені та послуги надані);

                 невідповідність вимогам оподаткування та іншим юридичним чи нормативним вимогам, особливо якщо діяльність з е-комерції через Інтернет здійснюється через міжнародні кордони;

                 неспроможність забезпечити, щоб контракти, підтверджені лише електронними засобами, були обов'язковими;

                 надмірна довіра до е-комерції при розміщенні значних бізнес-систем чи інших бізнес-операцій в Інтернеті;

20.       Суб'єкт господарювання вирішує проблеми певних бізнес-ризиків, що виникають в е-комерції, шляхом запровадження відповідної інфраструктури захищеності та супутніх заходів контролю, які, як правило, містять такі заходи з метою:

                 засвідчення ідентифікатора замовників та постачальників;

                 забезпечення цілісності інформації про операції;

                 досягнення домовленості про умови торгівлі, включаючи угоди про постачання та умови надання кредитів і процесів вирішення спірних питань, що можуть бути спрямованими на відстеження операцій та процедур для забезпечення того, щоб сторона, яка бере участь в операції, не змогла пізніше відмовитися від раніше обумовлених контрактом умов (процедури неможливості відмови від контракту);

                 отримання платежів від замовників або забезпечення фінансування для них;

                 встановлення протоколів конфіденційності та захисту інформації.

21.       Аудитор застосовує набуті знання бізнесу для визначення подій, операцій та практики, пов'язаних з бізнес-ризиками, що виникають від діяльності з е-комерції суб'єкта господарювання, тобто які, за судженням аудитора, можуть призвести до суттєвого викривлення фінансових звітів або суттєво впливати на аудиторські процедури чи аудиторський висновок.

- Законодавчі та нормативні проблеми

22.       Ще не існує всеосяжної концептуальної міжнародної законодавчої основи е-комерції та ефективної інфраструктури для підтримки такої основи (електронні підписи, реєстри документів, механізми вирішення спорів, захист замовника тощо). Законодавчі бази в різних юрисдикціях різняться щодо визнання е-комерції. Проте управлінський персонал має враховувати законодавчі та нормативні питання, пов'язані з діяльністю суб'єкта господарювання з е-комерції, наприклад, чи має суб'єкт господарювання адекватні механізми для визнання податкових зобов'язань, зокрема продажів або податків на додану вартість, у різних юрисдикціях. До факторів, що можуть призвести до підвищення податків на операції з е-комерції, можна віднести місце розташування:

           де суб'єкт господарювання юридично зареєстрований;

                 де розміщений його \¥еЬ-сервер;

                 з якого постачають товари та надають послуги;

                 е знаходяться замовники або з якого постачають товари чи надають послуги.

Все це може бути в різних юрисдикціях. Це може призводити до ризику того, що податки, які підлягають сплаті за операції, що здійснюються в різних юрисдикціях, не визнанні відповідним чином.

23.       Законодавчі чи нормативні питання, які можуть бути особливо доречними в середовищі е-комерції, включають:

                 суворе   дотримання   національних   та   міжнародних   вимог конфіденційності;

                 суворе дотримання національних та міжнародних вимог до регульованих галузей;

                 обов'язковість виконання контрактів;

                 законність конкретних видів діяльності, наприклад спекуляцій в Інтернеті;

                 ризик відмивання грошей;

                 порушення прав інтелектуальної власності.

24.       МСА 250, "Врахування законів та нормативних актів при аудиторській перевірці фінансових звітів" вимагає від аудитора при плануванні та виконанні аудиторських процедур, а також при оцінюванні та звітуванні про них визнавати, що порушення суб'єктом господарювання законів та нормативних документів може суттєво впливати на фінансові звіти. МСА 250 також визнає, що для планування аудиторської перевірки аудиторові слід набути загального розуміння законодавчої та нормативної бази, яка застосовується до суб'єкта господарювання та галузі, а також того, як суб'єкт господарювання додержується цієї бази. Ця база, за конкретних обставин суб'єкта господарювання, може містити певні юридичні та нормативні проблеми, пов'язані з діяльністю з е-комерції. Хоча МСА 250 визнає, що не можна очікувати, що аудиторська перевірка виявить усі випадки невідповідності законодавчим і нормативним актам, від аудитора особливо вимагається проведення процедур, спрямованих на виявлення випадків невідповідності тим законам і нормативним актам, недодержання яких слід враховувати при складанні фінансових звітів. Якщо виникають законодавчі та нормативні проблеми, які, за судженням аудитора, можуть призвести до суттєвого викривлення інформації у фінансових звітах чи мати суттєвий вплив на аудиторські процедури чи аудиторський висновок, аудитор розглядає інформацію, що надається управлінському персоналу з цього питання. У деяких випадках може бути необхідна консультація юриста, який має конкретний досвід у проблемах е-комерції, при розгляді законодавчих та нормативних питань, що виникають через діяльність суб'єкта господарювання з е-комерції.

- Міркування щодо внутрішнього контролю

25.           Заходи внутрішнього контролю можна використовувати для зменшування ризиків, пов'язаних з діяльністю з е-комерції. Відповідно до МСА 400 "Оцінка ризиків та внутрішній контроль"7 аудитор розглядає середовище контролю та процедури контролю, які суб'єкт господарювання застосовує до діяльності з е-комерції тою мірою, якою вони відповідають твердженням у фінансових звітах. За деяких обставин, наприклад, коли системи електронної комерції високо автоматизовані, коли обсяг операцій великий або коли докази в електронній формі, які є аудиторським слідом, не зберігаються, аудитор може визначити, що неможливо знизити аудиторський ризик до прийнятно низького рівня, застосовуючи лише процедури по суті. За таких обставин часто застосовують комп'ютеризовані методи аудиту (зверніться до ПМПА 1009 "Комп'ютеризовані методи аудиту")8.

26.           Як і при розгляді забезпечення захищеності, цілісності інформації про операції та впорядкування процесів, наведених нижче, особливо важливими для суб'єкта господарювання, який займається е-комерцією, є такі аспекти внутрішнього контролю:

                 збереження цілісності процедур контролю у середовищі е-комерції, що швидко змінюється;

                 забезпечення доступу до відповідних документів для задоволення потреб суб'єкта господарювання і для цілей аудиторської перевірки.

7 МСА 400 "Оцінка ризиків та внутрішній контроль" відкликано в грудні 2004 р. після набуття чинності МСА 315 "Розуміння суб'єкту господарювання та його середовища та оцінка ризиків суттєвих викривлень" та МСА 330 "Аудиторські процедури відповідно до оцінених ризиків".


- Захищеність

27.           Інфраструктура забезпечення захищеності суб'єкта господарювання та пов'язаних з ним процедур контролю - надзвичайно важливі особливості системи внутрішнього контролю, якщо зовнішні сторони можуть мати доступ до інформаційної системи суб'єкта господарювання, використовуючи загальнодоступну мережу, таку як Інтернет. Інформація захищена настільки, наскільки задоволені вимоги доступу до неї, її автентичності, конфіденційності, цілісності, неможливості викривлення змісту та наявності.

28.           Суб'єкт господарювання, як правило, розглядатиме ризики забезпечення захищеності, пов'язані з реєстрацією та обробкою операцій з е-комерції, за допомогою інфраструктури захищеності та пов'язаних з нею процедур контролю. Інфраструктура забезпечення захищеності та пов'язані з нею процедури контролю можуть містити інформацію про політику захисту інформації, оцінку ризику захищеності та стандарти, критерії, практику, а також процедури, згідно з якими встановлюють і підтримують окремі системи, включаючи фізичні заходи та логічні чи інші технічні заходи захисту, такі як ідентифікатори користувачів, паролі та брандмауери. Тою мірою, якою вони є доречними для тверджень у фінансових звітах, аудитор розглядає такі питання:

                 ефективне застосування брандмауерів та програмного забезпечення з захисту від вірусів для захищеності своїх систем від установлення 1 несанкціонованого чи шкідливого програмного забезпечення, даних чи інших матеріалів в електронній формі;

                 ефективне застосування кодування інформації, включаючи:

о і забезпечення конфіденційності та захищеності передачі шляхом, наприклад, авторизації ключів декодування;

о і запобігання неправильного застосування методів шифрування, наприклад, шляхом контролювання та забезпечення збереженості ключів декодування;

                 заходи контролю за розробкою та впровадженням систем, які використовуються для підтримання діяльності з е-комерції;

                 чи залишаються встановлені заходи з забезпечення захищеності таким ж ефективними, як і нові технології, які можна використати для спроб проникнення через Інтернет;

                 чи підтримує середовище контролю запроваджені процедури контролю. Наприклад, системи цифрового кодування, основані на підтверджені прав доступу, можуть бути неефективними, якщо вони функціонують у неадекватному середовищі контролю та їх можна технічно вдосконалити.

- Цілісність інформації про операції

29.           Аудитор розглядає повноту, точність, своєчасність та авторизацію інформації, наданої для реєстрації та обробки в фінансових документах суб'єкта господарювання (цілісність інформації про операції). Характер та рівень складності діяльності суб'єкта господарювання з е-комерції впливає на характер та величину ризиків, пов'язаних з реєстрацією та обробкою операцій з е-комерції.

30.           Аудиторські процедури стосовно цілісності інформації в обліковій системі щодо операцій з е-комерції значною мірою відносяться до оцінювання надійності систем у використанні для збору та обробки такої інформації. В ускладненій системі початкова дія, наприклад, одержання замовлення від клієнта через Інтернет, автоматично ініціює всі інші кроки обробки операції. Отже, на відміну від аудиторських процедур для традиційних ділових операцій, що, як правило, фокусуються окремо на процесах контролю, пов'язаних з кожним етапом пошуку та обробки операцій, аудиторські процедури для ускладненої е-комерції часто спрямовані на автоматизовані процедури контролю, пов'язані з цілісністю інформації про операції у міру того, як її отримують і потім негайно автоматично обробляють.

31.           У середовищі е-комерції, процедури контролю, пов'язані з цілісністю інформації про операції, часто призначені, наприклад, для:

                 підтвердження правильності вводу;

                 запобігання дублювання чи пропущення операцій;

                 забезпечення того, щоб умови торгівлі були узгоджені до обробки замовлення, включаючи умови доставки та надання кредиту, які можуть вимагати, наприклад, отримання платежу при розміщенні замовлення;

                 розрізнення пошуку та перегляду інформації від розміщених замовлень, забезпечення того, щоб сторона, яка бере участь в операції, не могла пізніше відмовитися, вже погодившись на визначені у контракті умови (неможливість відмови), та забезпечення здійснення операцій з затвердженими сторонами у належний час;

                 запобігання неповної обробки шляхом забезпечення, щоб усі етапи були завершені та зареєстровані (наприклад, щодо операції з замовником: замовлення прийнято, платіж отримано, товари/послуги доставлені та дані в обліковій системі оновлені) або, якщо всі етапи не завершені та незареєстровані, було анульоване замовлення;

                 забезпечення відповідного розміщення докладної інформації про операцію у складних системах мережі (наприклад, якщо дані збирають централізовано та повідомляють різним адміністраторам ресурсів для виконання операції);

                 забезпечення належного зберігання, резервного копіювання та захищеності записів.

- Упорядкування процесів

32.           Упорядкування процесів означає спосіб інтегрування різних систем ІТ та їхнє функціонування по суті як єдиної системи. В середовищі е-комерції важливою є відповідна обробка операцій, здійснених на \Veb-вузлі суб'єкта господарювання, внутрішніми системами суб'єкта господарювання, такими як облікова система, системи управління відносинами з замовниками та системи управління запасами (які часто відомі як системи "допоміжного офісу"). Багато вузлів Інтернету не об'єднуються автоматично з внутрішніми системами.

33.           Спосіб збору інформації про операції з е-комерції та переносу її до облікової системи суб'єкта господарювання може впливати на такі питання, як:

                 повнота та точність обробки операцій та зберігання інформації;

                 визначення часу визнання доходів від реалізації, придбань та інших операцій;

                 ідентифікування та реєстрація спірних операцій.

34.       Якщо це є доречним для тверджень у фінансових звітах, аудитор розглядає процедури контролю, які керують об'єднанням операцій з е- комерції з внутрішніми системами, та процедури контролю за змінами у системах та перетворенням даних з метою автоматизації упорядкування процесів.

- Вплив електронних записів на аудиторські докази

35. Може не бути жодних паперових документів щодо операцій з е-комерції, а електронні записи можна легше зруйнувати чи змінити, ніж паперові записи, не залишаючи доказів такого руйнування чи змінювання. Аудитор розглядає, чи адекватна запроваджена суб'єктом господарювання політика захищеності інформації та процедури контролю захищеності для запобігання несанкціонованих змін в

 

обліковій системі, записах або системах, що надають дані для облікової системи.

36. Аудитор може проводити тести процедур контролю, такі як перевірки цілісності записів, електронних позначок дати, чеків, цифрових підписів та процедур контролю за керуванням версіями при розгляді цілісності електронних доказів. Залежно від оцінки аудитором цих процедур контролю він також може розглядати необхідність виконання додаткових процедур, таких як підтвердження деталей операцій чи залишків на рахунках третіми сторонами (див. МСА 505 " Зовнішні підтвердження").

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 
25 26 27 28 29 30 31 32 33 34 35 36 37  Наверх ↑