Доречність

В деяких випадках, сутність, тобто вплив способу відображення активів на економічний стан банку, переважає над суворою юридичною інтерпретацією права власності. Наприклад, банк укладає контракт на лізинг обладнання на умовах, що він отримає це обладнання в повну власність після закінчення терміну лізингу, та бере на себе повну відповідальність за його утримання та полагодження, яке може бути необхідним протягом строку корисної експлуатації даного обладнання. Отже, йде мова про фінансовий лізинг. Хоча юридично обладнання є власністю лізингодавця, цей актив має відображатися на балансі банку, який отримав його в лізинг.

Фінансові звіти мають містити якомога більш повну інформацію в межах суттєвості та витрат, пов’язаних з її отриманням.

Фінансові звіти мають складатись одразу після закінчення звітного періоду, а аудит звітності необхідно провести щонайбільше через шість місяців після цього. Зі своєчасним наданням інформації часто може виникати необхідність складати звіт раніше, ніж стануть відомі всі аспекти операції або іншої події, що може поставити під загрозу достовірність інформації. І навпаки, якщо затримати звітність до моменту, коли будуть відомі всі аспекти, інформація може бути абсолютно достовірною, але малокорисною для користувачів, які мали прийняти рішення раніше. Для досягнення оптимального співвідношення між доречністю та достовірністю, перш за все треба керуватися необхідністю задовольняти потреби користувачів, які приймають економічні рішення.

Фінансова звітність банку має містити достатню інформацію, викладену в такій формі, щоб її могли легко інтерпретувати усі сторони, зацікавлені в цій інформації.

Щоб бути корисною, інформація має бути доречною, відповідати потребам користувачів під час прийняття рішень.

Інформація є доречною, якщо вона впливає на економічні рішення користувачів шляхом надання допомоги в оцінці ними минулих, нинішніх чи майбутніх подій або вона допомагає їм підтвердити чи виправити їхні минулі оцінки.

Б52 Опитувальний листок для внутрішнього аудиту комп’ютерного обладнання та діяльності управління ІТ (відділу автоматизації)

№	Основні системи контролю	Так	Ні	Н/с	Коментарі

Комп’ютерне обладнання
	Чи існує в банку загальний порядок придбання та використання комп’ютерного обладнання?
	Чи є в банку група технічної підтримки, яка надає консультації щодо будь-яких аспектів комп’ютерного обладнання, для допомоги керівництву при виборі та придбанні найбільш придатного обладнання?
	Чи існують письмові стандарти та інструкції щодо оцінки комп’ютерного обладнання різних постачальників?
	Чи існує в письмовій формі політика банку щодо необхідних заходів безпеки для різних елементів комп’ютерного обладнання банку?

Програмне забезпечення
	Чи існує в письмовій формі порядок надання дозволу на придбання різних видів програмного забезпечення?
	Чи існує в банку стратегія відбору різних типів програмного забезпечення?
	Чи проводиться оцінка надійності різних типів програмного забезпечення банку?
	Чи є в банку фахівець, відповідальний за координацію потреб у навчанні по програмних продуктах в кожній функціональній сфері банку?

Організаційні системи контролю
	Чи є управління інформаційних технологій (ІТ) незалежним від відділу, який він обслуговує?
	Чи заборонено персоналу управління ІТ проводити операції чи надавати на них дозвіл?
	Чи заборонено персоналу управління ІТ вносити зміни до вихідних файлів бази даних (мастер-файлів)?
	Чи надається відділам, які замовили внесення змін до мастер-файлу, звіт про проведення цих змін?
	Чи заборонено персоналу управління ІТ самостійно виправляти помилки, окрім помилок, зроблених самим управлінням?
	Чи існує розподіл обов’язків між програмістами та операторами ПК?
№	Основні системи контролю	Так	Ні	Н/с	Коментарі
	Чи відокремлені функції підтвердження та контролю операцій від функцій, які виконують оператори ПК та програмісти?
	Чи здійснюється періодична ротація операторів ПК?
	Чи вимагається від операторів ПК брати обов’язкову відпустку протягом щонайменше одного тижня на рік?
	Якщо в банку є функція внутрішнього аудиту, чи надається аудиторський звіт керівництву щодо проектування та роботи системи бухгалтерського обліку, необхідної для створення інформації, яка може використовуватись при складанні фінансових звітів, які мають точно представляти фінансовий стан та результати діяльності банку?

Контроль доступу
19.	Чи відповідає за процес електронної обробки даних лише один службовець?
20.	Чи існують адекватні системи контролю, що забезпечують доступ до комп’ютерного обладнання лише уповноваженому персоналу?
21.	Чи заборонено програмістам доступ до працюючих програм та робочих файлів з даними?
22.	Чи встановлено порядок, який попереджує тестування нових чи перероблених програм на робочих файлах з даними?
23.	Чи обмежено доступ операторам ПК до вихідних текстів програм чи документації на програмні продукти?
24.	Чи обмежено доступ неуповноваженого персоналу до параметрів обробки чи табличних файлів, та чи розглядаються належним чином зміни, внесені до цих файлів?
25.	Чи контролюються належним чином сервісні програми, які можуть змінити дані чи прикладні програми, та чи ведеться протокол використання програм для інформування керівництва?
26.	Чи використовується програмне забезпечення, встановлене для контролю доступу до терміналу, таким чином, що:
	· доступ надається лише уповноваженим особам?
	· неуповноважені службовці мають доступ лише до тих програм або файлів, які необхідні їм для виконання своїх обов’язків?
	Якщо для контролю доступу до терміналу використовуються паролі, то:
	· чи встановлено порядок підтвердження конфіденційності та унікальності паролю?
	· чи змінюються паролі через однакові проміжки часу?
№	Основні системи контролю	Так	Ні	Н/с	Коментарі
	· чи скасовується негайно пароль для звільнених службовців?
	Чи вимагається додаткове підтвердження уповноваженої особи на здійснення наступних операцій:
	· операції з використанням нерухомих клієнтських рахунків?
	· зняття з рахунків великих сум (понад визначеної суми)?
	· зняття з рахунків сум проти коштів, наданих в якості застави?
	· зняття коштів з рахунків, які є заблокованими за рішенням судових органів?
	· зняття коштів з рахунків, які є арештованими?
	· закриття рахунків?
29.	Чи усунуто від виконання чутливих обов'язків тих службовців управління ІТ, які повідомили про своє звільнення з роботи?
30.	Чи існує порядок попередження несанкціонованого зовнішнього доступу через систему автоматичного набору (наприклад, шляхом введення системи паролів, ідентифікаційних номерів користувачів, складання списків абонентів)?
31.	Якщо конфіденційна інформація передається по мережам загального користування (наприклад, лінії, отримані в лізинг), чи використовуються методи захисту для попередження чи виявлення несанкціонованого доступу: або метод забезпечення безпеки носія, або інші незалежні методи (наприклад: кодування / шифрування)?
32.	Чи існує належний контроль доступу до інструкцій оператора ПК?

Контроль за розробкою нових систем та програм
	(Наступні питання відносяться до всіх ключових систем та програм, як розроблених самим банком, так і придбаних чи розроблених іншими постачальниками)
33.	Чи встановлено порядок розробки нових систем та програм, а також модифікації існуючих програм та систем?
34.	Чи враховуються адекватні контрольні процедури при розробці нових систем та програм?
35.	Чи вимагає порядок розробки систем та програм активної участі в цьому процесі користувачів цих продуктів (внутрішній аудит, якщо це необхідно)?
36.	Чи встановлено формальний порядок тестування для перевірки роботи нових чи модифікованих програм (включаючи тестування придбаного програмного
№	Основні системи контролю	Так	Ні	Н/с	Коментарі

	забезпечення постачальником)?
37.	Чи існують формальні стандарти та процедури документального оформлення нових систем чи програм, а також модифікацій існуючих систем чи програм?

Системи операційного контролю
	Чи ведуться автоматизовані чи документально оформлені протоколи для реєстрації дій оператора ПК?
	1) Чи існують системи контролю для забезпечення повноти та точності протоколів?
	2) Чи вивчаються протоколи відповідним персоналом наглядового відділу банку та чи розглядаються належним чином усі незвичайні записи в протоколах?
39.	Чи вимагається від операторів ПК доповідати про всі випадки збою, перезавантаження, відновлення системи або інші нештатні ситуації, та чи вивчається ця інформація спеціально призначеним персоналом?
40.	Чи доступні інструкції оператора ПК кожному оператору ПК?
41.	Чи містять інструкції оператора ПК вказівки щодо наступних питань:
	· встановлення пакетних завдань та завантаження операційних систем або програмного забезпечення (включаючи відповідні положення та параметри контролю, що використовуються при обробці даних)?
	· використання компонентів комп’ютерного обладнання та файлів з даними?
	· засоби вводу/ виводу, які мають використовуватись?
	· завершення програм?
42.	Чи існують належні процедури поточного контролю відповідності діяльності операторів ПК встановленому порядку роботи?
43.	Чи існують належні процедури створення резервних копій та зберігання програм та файлів з даними?
44.	Чи існують процедури перевірки персональних даних персоналу відділу та документального оформлення результатів перевірки?
45.	Чи існує докладний письмовий порядок ведення позичкових та депозитних рахунків персоналу управління ІТ в банку?
46.	Чи надаються регулярні інструкції персоналу управління ІТ щодо заходів безпеки?
№	Основні системи контролю	Так	Ні	Н/с	Коментарі

Ліквідація наслідків аварійних ситуацій / планування на випадок непередбачених подій

47.	Чи забезпечується зберігання за межами
	приміщення банку наступних предметів:
	1) мастер-файли та файли операцій, з яких можна відновити поточні файли-оригінали?
	2) системи, програми та пов'язана з ними документація?
48.	Чи розроблено плани дій на випадок втрати чи переривання функції електронної обробки даних?
49.	Якщо вже розроблено плани дій у надзвичайних ситуаціях, чи перевірено їх на адекватність цим подіям?
50.	Чи розроблено плани для вирішення проблем та питань, пов’язаних із здатністю комп’ютерної системи визнавати дату наступну після 31 грудня 1999 р., як 1 січня 2000 р.?