Для українських аудиторів з 2004 року обов'язковими для виконання є Міжнародні стандарти аудиту. З 2006 року обов'язковим для виконання є ІБА 315 "Визначення та оцінка ризиків суттєвого відхилення шляхом розуміння господарюючого суб'єкта та його середовища". Аудиторська палата України регулярно видає чинний в Україні переклад Міжнародних стандартів аудиту, який, утім, на один- два роки відстає від оригінального їх тексту.

Ще з початку 1980-х років Міжнародні стандарти аудиту та додані до них положення про аудиторську практику містили досить детальні вказівки та інструкції щодо оцінки середовища інформаційних систем. Так, такі положення й стандарти, як 310 "Знання бізнесу", 400 "Оцінка ризику і внутрішній контроль", 401 "Аудит у середовищі комп'ютерних інформаційних систем" і Положення про Міжнародну аудиторську практику 1008 "Оцінювання ризиків та внутрішній контроль - характеристики та особливості в КІС" втратили чинність у грудні 2004 року, і тоді набрали чинності стандарти 315 "Визначення та оцінка ризиків суттєвого відхилення шляхом розуміння господарюючого суб'єкта та його середовища" та 330 "Аудиторські процедури стосовно оцінених ризиків".

Головною причиною таких змін, на нашу думку, було те що тепер фактично весь аудит розглядається як комп'ютерний, тобто в умовах застосування бізнесових та обліково-фінансових комп'ютерних інформаційних систем і з використанням комп'ютерних методів і засобів аудиту. Саме тому загальні коментарі та вказівки з цих питань сьогодні містить майже кожний стандарт аудиту. Іншим фактором, який спричинив вилучення детальних вказівок, як зазначає Рада з аудиту Міжнародної федерації бухгалтерів, став стрімкий розвиток інформаційних технологій, просто застаріли[6].

Ще однією з причин такого вилучення було те, що останніми роками у світі остаточно оформилася професія аудитора інформаційних систем, з'явилися відповідні професійні організації такі, як Асоціація з аудиту та контролю інформаційних систем.

У 1996 році Асоціація з аудиту та контролю інформаційних систем (ІБАСА) вперше пустила документ "Контрольні цілі для інформаційних технологій" (СОВІТ), завданням яких визначено дослідження, розвиток і поширення сучасних, міжнародних, загальноприйнятих контрольних цілей для інформаційних технологій. СОВІТ полегшує розуміння інформаційних систем для менеджерів, аудиторів та інших користувачів і пропонує необхідний рівень безпеки й контролю для захисту активів компаній, надає модель для управління інформаційними технологіями. Документ пропонує 34-рівневий процес, який покриває 318 контрольних цілей за чотирма напрямами: планування й організація, придбання і впровадження, постачання й підтримка та моніторинг.

"Контрольні цілі для інформаційних технологій" є корисними і для керівників підприємства, які використовують їх як основу для прийняття рішень щодо інвестицій в інформаційні технології підприємства, і для користувачів інформації та аудиторів. СОВІТ визначає стратегію розвитку інформаційних систем підприємств, рекомендує необхідне для придбання програмне й технічне забезпечення, що надасть можливість інформаційній системі безперебійно функціонувати в умовах ведення бізнесу. Користувачі інформаційних систем підприємства завдяки СОВІТ отримують упевненість щодо надійності інформації, а аудитори - можливість легше ідентифікувати контрольні заходи та процедури, здійснювані підприємством, або підтвердити виявлені недоліки в системі корпоративного контролю підприємства [5].

Визначаючи поняття "внутрішній контроль", документи передбачають, що компанія встановила цілі для своїх операцій. СОВІТ визначає, що ці цілі підтримуються бізнес-процесами, які, у свою чергу, підтримуються інформацією, наданою з допомогою використання інформаційної технології. Бізнес-вимоги для цієї інформації задовольняються через адекватні контрольні заходи.

Головне призначення СОВІТ - створення системи яка поєднує безпеку й контроль в інформаційних технологіях. Документ установлює чіткий зв'язок між засобами контролю інформаційних систем і бізнес-цілями. Додатково передбачаються загальновизнані цілі контролю для кожного процесу інформаційної технології, що дає можливість надавати практичні рекомендації контролю для всіх зацікавлених сторін. Документ також надає засоби для взаємодії між керівниками підприємств, користувачами фінансової інформації та аудиторами щодо засобів контролю інформаційних систем.

Отже, для українського бізнес-середовища ситуація складається таким чином: зовнішні аудитори, які перевіряють показники фінансової звітності, мають загальні вказівки щодо оцінки ризиків стосовно систем контролю, будь-які детальні чинні нормативні акти, які слугували б методичною основою для побудови й оцінки систем внутрішнього контролю, практично відсутні. На нашу думку, на ринку інформаційних технологій, поліпшення загальної економічної ситуації та зростання конкуренції безперечно приведуть до адаптації світових нормативних актів у сфері фінансового контролю в Україні. Це можливо шляхом:—

створення національних нормативів контролю на основі міжнародних;—

адаптації існуючих у світі нормативів.

Обидва шляхи можуть виявитися ефективними. Однак, міжнародні стандарти аудиту вже містять основні положення з питань внутрішнього контролю. Адаптувати ж детальне та чимале за обсягом керівництво з методик внутрішнього контролю, орієнтоване на документообіг та законодавство США, недоречно. Можливо, ефективніше буде закріпити загальні вимоги до систем внутрішнього контролю на законодавчому рівні.

З інформаційними технологіями ситуація інша. Технологічний процес обробки обліково-фінансової інформації на підприємстві мусить бути інтегрованим незалежно від того, в яких країнах працює компанія. СОВІТ, являючи собою системний документ, передбачає визначення засобів контролю і цілей контролю для специфічних процесів інформаційної технології та використовується насамперед ІТ-фахівцями на підприємстві та зовнішніми консультантами з автоматизованих систем. На нашу думку,