У зв’язку з оприлюдненням Державною службою спеціального зв’язку та захисту інформації України переліку програмного забезпечення, забороненого до використання в органах державної влади, органах місцевого самоврядування, на державних підприємствах та у операторів критичної інфраструктури, зокрема визначених програмних продуктів, розроблених на платформах 1С та BAS, звертаємо увагу суб’єктів аудиторської діяльності (далі – САД) на таке.
Деякі САД при наданні аудиторських послуг використовують спеціалізоване програмне забезпечення для планування, виконання та документування аудиторських процедур, у тому числі програмні продукти, розроблені на базі платформ 1С та BAS. Таке програмне забезпечення, як правило, використовується для формування та зберігання аудиторської документації, що включає, зокрема, обліково-аналітичну інформацію замовників, копії окремих первинних документів, договорів, регістрів бухгалтерського обліку, а також інші дані, які можуть містити конфіденційну, службову інформацію або інформацію з обмеженим доступом.
Програмне забезпечення, що використовується САД у межах системи управління якістю, належить до технологічних ресурсів фірми та, відповідно до Міжнародного стандарту управління якістю 1 (МСУЯ 1), має відповідати встановленим цілям якості та вимогам до надійності, безпеки та придатності для використання.
Зокрема, відповідно до:
- параграфу 32(f) МСУЯ 1, САД повинен встановити ціль якості, згідно з якою технологічні ресурси отримуються або розробляються, впроваджуються, підтримуються та використовуються таким чином, щоб забезпечити функціонування системи управління якістю фірми та належне виконання завдань;
- параграфу 32(h) МСУЯ 1, технологічні ресурси постачальників послуг мають бути придатними для використання в системі управління якістю фірми та при виконанні завдань, з урахуванням встановлених цілей якості.
Важливою складовою придатності технологічних ресурсів є забезпечення конфіденційності, цілісності та захищеності інформації, що обробляється та зберігається з використанням відповідного програмного забезпечення, з урахуванням вимог професійної етики, законодавства у сфері захисту інформації та договірних зобов’язань перед замовниками аудиторських послуг.
Відповідно до параграфу 25 МСУЯ 1, САД зобов’язаний виявляти та оцінювати ризики якості, які можуть негативно вплинути на досягнення цілей системи управління якістю, та формувати основу для розробки й реалізації відповідних дій у відповідь. З урахуванням рішень уповноважених органів державної влади щодо обмеження та заборони використання програмного забезпечення 1С та BAS через наявні безпекові ризики, пов’язані, зокрема, з можливим несанкціонованим доступом до даних, контролем оновлень та залежністю від постачальників, такі ризики мають бути належним чином враховані САД у процесі управління якістю.
У цьому контексті звертаємо увагу САД, які використовують при наданні аудиторських послуг програмне забезпечення, розроблене на базі платформ 1С або BAS, на доцільність:
- повторної ідентифікації та оцінки ризиків якості, пов’язаних із забезпеченням конфіденційності та безпеки інформації, що обробляється та зберігається в такому програмному забезпеченні, а також, у разі необхідності, перегляду та посилення відповідних дій у відповідь на ці ризики;
- утримання від безпосереднього використання програмного забезпечення, створеного на базі платформ 1С або BAS, для обробки, зберігання або документування обліково-аналітичної інформації замовників аудиторських послуг, які належать до органів державної влади, органів місцевого самоврядування, державних підприємств, операторів критичної інфраструктури та суб’єктів оборонно-промислового комплексу.
Такі підходи є необхідними для забезпечення відповідності вимогам МСУЯ 1, принципам професійної етики, а також для мінімізації ризиків якості та репутаційних ризиків САД у контексті використання технологічних ресурсів при наданні аудиторських послуг.
