GTAG - практическое руководство Института внутренних аудиторов

Auditing Application Controls — это аудит прикладного контроля — средств контроля, которые специфичны для конкретных бизнес-процессов или систем приложений. Такие контроли направлены на обеспечение точности, полноты и достоверности данных, обрабатываемых в системах.

• Оценка адекватности и эффективности средств контроля. Аудитор проверяет, соответствуют ли контроли предназначены для достижения поставленных целей, и правильно ли они реализованы.
• Выявление слабых мест в средствах контроля. Это помогает разработать план действий по устранению пробелов и укреплению существующих средств контроля.
• Соответствие регуляторным требованиям. Например, аудит может проводиться для соответствия стандартам финансовой отчётности, защиты данных и законов о конфиденциальности.
• Повышение эффективности операций — автоматизация проверок и балансировок снижает вероятность ошибок и мошенничества.

Некоторые компоненты аудита прикладного контроля:

• Контроль доступа — оценка механизмов управления доступом пользователей к приложению, включая аутентификацию, авторизацию и разделение обязанностей.
• Контроль целостности данных — оценка процессов и средств контроля, направленных на поддержание точности и полноты данных, введённых в приложение.
• Контроль транзакций — проверка средств контроля, связанных с обработкой транзакций, например, проверки ввода, обработки ошибок и ведения журнала транзакций.
• Контроль управления изменениями — оценка процедур для реализации изменений в приложении, включая тестирование, одобрение и документирование изменений.
• Контроль безопасности — анализ мер безопасности, implemented для защиты приложения от несанкционированного доступа, нарушений данных и других угроз безопасности.
• Мониторинг и ведение логов — оценка эффективности механизмов мониторинга и ведения логов для обнаружения и реагирования на инциденты безопасности или несанкционированную деятельность.

Аудитор может использовать разные методы тестирования средств контроля, например:

• Обзор логики системы.
• Повторное выполнение деятельности в непроизводственной среде, чтобы проверить эффективность средства контроля.
• Наблюдение за работой средства контроля в реальном времени.
• Использование аудиторского программного обеспечения для тестирования средств контроля, например, для повторного выполнения автоматических процедур контроля.
• Встроенные средства аудита (ВСА) — собственный программный код аудитора встраивается в прикладное программное обеспечение, чтобы процедуры проверки могли выполняться по мере необходимости на обрабатываемых данных.