Аудит информационных систем

18.12.2019
Комментариев нет
Бизнес

Содержание

Аудит информационных систем

Аудит информационных систем (ИС) — это исследование и анализ существующей информационной системы на предприятии, позволяющий оценить ее эффективность.

Аудит ИС проводится в ходе комплексного ИТ-аудита и ставит целью определить уровень соответствия аппаратно-программных комплексов и текущих потребностей бизнеса.

Аудит информационных систем необходим в таких случаях:

  • Устарело оборудование и/или ПО;
  • Планируется переход на другое (или новую версию старого) ПО с иными требованиями;
  • Есть проблемы интеграции существующего оборудования с сервисами и приложениями;
  • Действующая ИС не справляется с запросами растущего бизнеса;
  • Необходимо оценить качество модернизации IT-инфраструктуры.

Аудит информационных систем дает ответы на такие вопросы:

  • Насколько ИС поддерживает выбранную бизнес-стратегию?
  • Как оптимально использовать аппаратные и программные ресурсы?
  • Сколько ресурсов потребляет действующая ИС?
  • Как уменьшить затраты на владение и модернизацию ИС?
  • Как ускорить информационные процессы на предприятии?
  • Как ИС защищена от киберугроз и других внешних факторов?
  • Какие ошибки и «узкие» места в ИС мешают развитию бизнеса?

Своевременно проведенный внутренний аудит информационный систем позволит рационально использовать потенциал ИС, уменьшит расходы на ее содержание, поможет избежать серьезных технических проблем в будущем, снизит риски финансовых потерь и сделает компанию более конкурентоспособной за счет ускорения бизнес-процессов.

Как проводится аудит ИС

  1. Разрабатывается и согласовывается с руководителем предприятия план анализа действующей ИС.
  2. Проводится инвентаризация аппаратного и программного обеспечения.
  3. Собирается информация о текущем состоянии информационной системы.
  4. Анализируется содержимое бизнес-процессов и их взаимосвязь с ИС.
  5. Собираются сведения об администрировании и сопровождении ИС.
  6. Оцениваются достоинства и недостатки ИС, возможности для масштабирования и потенциальные риски.
  7. Готовится отчет о проделанной работе с рекомендациями по повышению производительности ИС.

Результатом технического аудита информационных систем станут формализованные описания текущего состояния ИС, список найденных проблем с рекомендациями по их устранению и повышению эффективности функционирования ИС.

Частное «бизнес-облако»

Основные международные стандарты и лучшие практики проведения аудита информационных технологий


В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association», целью которой стала выработка стандартов и лучших практик проведения ИТ-аудита.

С тех пор, важность профессии ИТ-аудитора значительно возросла. Сегодня аудит ИТ-контролей является обязательной частью каждого независимого финансового аудита, услуги ИТ-аудита востребованы на рынке, а крупные корпорации имеют собственные подразделения ИТ-аудита, осуществляющие периодический контроль ИТ-процессов и помогающие их совершенствовать. При этом, следование сложившимся стандартам и лучшим практикам является необходимым условием для проведения аудита наиболее оптимальным образом и высоким качеством.
Целью данной статьи является представление основных актуальных стандартов и руководств в области ИТ-аудита, которые используются при проведении различных типов проверок информационных технологий. Статья в большей степени нацелена на специалистов, начинающих свою карьеру в области ИТ-аудита и информационной безопасности. Также статья может быть интересна и финансовым/внутренним аудиторам, желающим познакомиться с существующими стандартами ИТ-аудита.
В статье рассмотрены стандарты и руководства, разработанные международными организациями ISACA, Институтом Внутренних Аудиторов (IIA), ISO/IEC, IAASB (the International Auditing and Assurance Standards Board), PCAOB, и др. Для каждого из стандартов дается краткое описание структуры и особенностей их использования.

1. «IT Audit Framework 2nd Edition» (ITAF) — международный стандарт проведения ИТ-аудита от организации ISACA

Действующая редакция выпущена в июле 2013 года. Целевая аудитория стандарта – специалисты в области ИТ-аудита. Стандарт предназначен для использования при проведении формализованных аудиторских проверок информационных систем и ИТ-инфраструктуры.
Стандартом определяются:
• основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
• минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
• основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
• перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.
ITAF разрабатывался как стандарт, который может применяться, как для проведения отдельных аудитов информационных систем, так и для выполнения аудита информационных систем в рамках финансовых и операционных аудитов.
Стандарт ITAF состоит из трех частей:
1. Общие стандарты – включает руководящие принципы для профессионалов в области аудита информационных систем: соблюдение независимости, объективности и профессиональной этики, поддержание знаний, компетенций и навыков.
2. Стандарты проведения аудиторских проверок – включает практики планирования и контроля аудиторских проверок, определение объемов работ в рамках аудиторских проверок, управление рисками и границами материальности, мобилизации ресурсов, управления проектом, практики сбора и хранение свидетельств аудита, использования методов экспертной оценки.
3. Стандарты отчетности – включает описание типов отчетов, средств представления отчетов и типов презентуемой информации.
Для каждой из частей стандарта ассоциацией ISACA разработаны руководства, рабочие программы и инструкции, поддерживающие проведение описанных аудиторских процедур. Руководства, рабочие программы и инструкции доступны на официальном сайте ассоциации.
На момент написания статьи, стандарт ITAF является наиболее полным источником для специалистов в области ИТ-аудита, описывающим все этапы проведения проверки ИТ-систем и ИТ-процессов.

2. «Cobit 5 for Assurance» — руководство по проведению аудита в соответствии с COBIT v.5

Действующая редакция руководства выпущена организацией ISACA в июле 2013 года. Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5. Предыдущая версия сборника лучших практик COBIT (v. 4.1) была выпущена в 2007 году и на данный момент продолжается широко использоваться в профессиональной среде1.
«Cobit 5 for Assurance»:
• содержит детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;
• содержит структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами (*enablers), описанными в COBIT 5;
• демонстрирует конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.
В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.

3. «International Professional Practices Framework (IPPF) for Internal Auditing Standards»

Международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA). Действующая редакция выпущена в 2013 году. Целевая аудитория стандарта – сотрудники внутреннего аудита.
Целью стандарта является определение:
• базовых принципов проведения внутреннего аудита;
• стандартного набора практик проведения внутреннего аудита;
• базовых показателей оценки эффективности процедур внутреннего аудита.
Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита, он определяет универсальные принципы и подходы, которые могут быть использованы, как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий.
Для методологической поддержки стандарта в части проведения ИТ-аудита, ассоциацией IIA были разработаны детальные руководства по оценке ИТ-рисков (Guide to the Assessment of IT Risk) и аудиту информационных технологий (Global Technology Audit Guide).
Руководство «Guide to the Assessment of IT Risk» (GAIT) описывает взаимосвязь между бизнес-рисками, ключевыми контролями, встроенными в бизнес-процессы, автоматизированными контролями, критичными ИТ-функциями и Общими ИТ-контролями (IT General Controls)2.
Руководство GAIT включает следующие публикации:
1) Методология GAIT (The GAIT Methodology) – описывает риск-ориентированный подход к определению и оценке Общих ИТ-контролей в рамках оценки управления системой внутреннего контроля необходимой для соответствия Статье 404 закона Сарбейнза-Оксли.

2) GAIT для оценки недостатков Общих ИТ-контролей (GAIT for IT General Control Deficiency Assessment) – описывает подход к определению критичности и материальности недостатков Общих ИТ-контролей, выявленных в рамках оценки соответствия Статье 404 закона Сарбейнза-Оксли.
3) GAIT для оценки бизнес и ИТ-рисков (GAIT for Business and IT Risk) — описывает шаги по определению ключевых ИТ-контролей, которые критичны для достижения бизнес целей и задач организации.
Руководство по аудиту информационных технологий «Global Technology Audit Guide» (GATG) состоит из 15 публикаций, описывающих процессы, процедуры и техники, используемые при проведении проверок информационных систем:
1. ИТ риски и контроли (Information Technology Risk and Controls)
2. Контроли в процессах внесения изменений и обновлений ИТ-систем (Change and Patch Management Controls)
3. Процесс непрерывного аудита (Continuous Auditing)
4. Управление процессами ИТ-аудита (Management of IT Auditing)
5. ИТ-аутсорсинг (Information Technology Outsourcing)
6. Аудит автоматизированных контролей (Auditing Application Controls)
7. Управление доступом (Identity and Access Management)
8. Управление непрерывностью бизнеса (Business Continuity Management)
9. Разработка плана аудиторской проверки ИТ (Developing the IT Audit Plan)
10. Аудит ИТ-проектов (Auditing IT Projects)
11. Обнаружение и предотвращение мошенничества, связанного с использованием ИТ-технологий (Fraud Prevention and Detection in an Automated World)
12. Аудит приложений, разработанных пользователями (Auditing User-developed Applications)
13. Управлние информационной безопасностью (Information Security Governance)
14. Технологии анализа информации (Data Analysis Technologies)
15. Аудит управления ИТ-функцией (Auditing IT Governance)
Детальность и бизнес-ориентированность данных стандартов, являются его сильными сторонами. Тем не менее, так как стандарт и поддерживающие руководства разрабатывались для использования специалистами не имеющими глубокого ИТ-бэкграунда, используемая терминология не всегда точно описывает технические аспекты проведения ИТ-аудита. Также некоторые руководства не обновлялись несколько лет.

4. Международные стандарты «ISAE No. 3402» и «SSAE No. 16»

«ISAE No. 3402» международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and Assurance Standards Board), являющейся частью Международной Федерации Бухгалтеров (IFAC, International Federation of Accountants).
Стандарт «SSAE No. 16» (ранее известный как SAS 70), выпущен ассоциацией AICPA (American Institute of Certified Public Accountants) и является адаптированной американской версией международного стандарта «ISAE No.3402».
Целью стандарта «ISAE No. 3402» является предоставление унифицированного подхода к оценке эффективности системы внутреннего контроля сервисных организаций, в части подготовки достоверной финансовой отчетности. Согласно стандарту, проверка эффективности ИТ-контролей является необходимой при проведении оценки.
В соответствии со стандартом «ISAE No. 3402», уполномоченные аудиторские организации могут выпускать формализованные аудиторские заключения об эффективности системы внутреннего контроля. Данные заключения могут быть предоставления третьим заинтересованным лицам без необходимости проведения повторного аудита.
Для получения достаточного уровня уверенности/доверия к системе внутреннего контроля сервисной организации:
1) Сервисная организация должна четко описать структуру собственной системы внутреннего контроля за аудируемый период, включая ИТ-аспект.
2) Контроли, относящиеся к контрольным целям в описании системы внутреннего контроля организации должны быть смоделированы (спланированы) достаточным образом, для адекватного покрытия рисков (финансовых, операционных, ИТ и др.).
3) Контроли включены в объем аудиторской проверки, должны выполняться эффективно, для обеспечения достаточного уровня уверенности в том, что контрольные цели, обозначенные в описании системы внутреннего контроля организации были достигнуты в аудируемый период.
Аудиторские проверки на соответствие данному стандарту достаточно распространены в США и Европе, тем не менее в России все еще не получили широкого распространения.
Действующая редакция стандарта разработана и выпущена организацией «The Public Company Accounting Oversight Board» (PCAOB) в 2007 году.
Организация The Public Company Accounting Oversight Board (PCAOB) была создана законом Сарбейнза-Оксли в 2002 году как некоммерческая организация для контроля аудиторских проверок компаний, представленных на американских биржах, в целях защиты интересов инвесторов при подготовке независимого аудиторского заключения. Созданием PCAOB, акт Сарбейнза-Оксли впервые в истории обязал частные аудиторские компании проходить независимый надзор. До этого профессия аудиторов в США была саморегулируемой.
Стандартом аудита PCAOB No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements”определяются требования по включению проверок ИТ-процессов и ИТ-систем в объем обязательных аудиторских процедур при проведении внешнего финансового аудита.
Согласно стандарту, при проведении аудита контролей, связанных с подготовкой финансовой отчетности, аудитор должен получить понимание того, как используемые информационные системы и технологии оказывают влияние на процесс формирования финансовой отчетности. Аудитор также должен понимать какие контроли выполняются вручную, а какие реализованы на уровне информационных систем — автоматизированные контроли, в том числе как выполняются общие ИТ-контроли, которые важны для эффективной работы автоматизированных контролей. Эта информация должна быть учтена при оценке рисков искажения финансовой информации, обрабатываемой в информационных системах.
Стандарты опубликованы международной организацией ISO/IEC в 2011 году.
Целевой аудиторией стандартов являются специалисты в области информационной безопасности и ИТ-аудита, планирующие проведение compliance-аудита на соответствие требованиям стандартов ISO27001 и ISO27002.

Цель стандартов – дать оценку соответствует ли аудируемая организация/подразделение требованиям, изложенным в ISO/IEC 27001 и ISO/IEC 27002.
Стандарты включают описание следующих аспектов аудита:
1. Управление аудиторской проверкой (определение объема аудиторской проверки, формирование команды аудиторов, управление аудиторскими рисками, хранение свидетельств аудита, совершенствование процесса аудита).
2. Непосредственное проведение аудита (планирование, проведение, ключевые активности, включая выборки и анализ, отчетность и последующий контроль исполнения).
3. Управление командой аудиторов (поддержание компетенций и навыков, оценка членов команды).
Недостатком данных стандартов является отсутствие оценки рисков и последующей приоритизации контролей при планировании и проведении проверки. Тем не менее, стандарты удобны при подготовки к compliance-аудиту на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27002.

Другие стандарты и руководства, которые могут быть использованы при проведении ИТ-аудита

В ряде случаев при проведении ИТ-аудитов могут быть использованы международные стандарты и лучшие практики, которые не являются непосредственными стандартами аудита, тем не менее, удобны для оценки уровня зрелости и эффективности ИТ-процессов.
Пример таких стандартов:
1. ISO 20000 – международный стандарт по управлению и обслуживанию IT сервисов.
2. ITIL (IT Infrastructure Library) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области ИТ.
3. PCI DSS – стандарт безопасности данных индустрии платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
4. Публикации NIST серии 800-хх по информационной безопасности.
5. ISF Standards of Good Practice for Information Security — бизнес-ориентированное практическое руководство по управлению рисками информационной безопасностью от международной организации Information Security Forum (ISF).
(1) Статья не рассматривает Cobit 4.1, так как с точки зрения ISACA он является устаревшим.
(2) Общие ИТ-контроли – общие контрольные меры включённые в состав ИТ процессов и услуг, таких как разработка систем, внесение изменений, обеспечение безопасности и др. Целью общих ИТ-контролей является обеспечения надежной разработки и внедрения приложений, обеспечение целостности и защищенности приложений и информации, а также автоматизированных операций.

Сегодня сложно представить успешную компанию, которая не использовала бы в своей деятельности информационные технологии. И компьютер может заключать в себе одновременно несколько активов: основное средство, нематериальные активы в виде программного обеспечения, систему управления, инструмент подготовки финансовой отчетности, риск и т.д. А потому аудит компьютерных систем в соответствии с международными стандартами является одним из наиболее сложных случаев аудита. В чем же заключаются возможные трудности?

Основные процедуры, которые необходимо соблюдать при проведении аудита в условиях использования компьютерных информационных систем, раскрыты в МСА 401 «Аудит в среде компьютерных информационных систем».

Объектом применения данного МСА компьютерные информационные системы являются, когда организация применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер этой организацией или третьей стороной. Общая цель и объем аудита в среде таких систем не меняются, однако их применение может повлиять на:

  • процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля;
  • анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;
  • разработку и проведение аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

Аудитор может отходить от требований МСА, но только обязательно аргументируя причины такого действия.

В разделе «Умение и компетентность» определены требования, предъявляемые к уровню подготовки и квалификации аудитора для такой работы, и степень его ответственности в случае делегирования полномочий помощникам или при использовании результатов работы, проведенной третьими лицами. Аудитор должен обладать достаточным знанием компьютерных систем, для того чтобы планировать, направлять, контролировать и проверять выполняемую работу.

Необходимость в специальных знаниях и взаимодействие с экспертом

Аудитор должен оценить необходимость применения специальных знаний об информационных системах для проведения аудита. Они могут понадобиться для:

  • достаточного представления о системах бухгалтерского учета и внутреннего контроля, на которые влияет среда компьютерных информационных систем;
  • определения влияния компьютерных систем на оценку общего риска, риска на уровне сальдо счетов и класса операций;
  • разработки и проведения соответствующих тестов контроля и процедур проверки по существу.

Если необходимость в специальных знаниях есть, аудитор может обратиться за помощью к специалисту, который обладает такими знаниями и является либо работником аудиторской фирмы, либо приглашенным экспертом. Однако при этом он должен сохранять главенствующее положение. По отношению к эксперту оно проявляется в том, что эксперт оценивает только системы обработки информации, а аудитор — достоверность результатов полного анализа всей информационной архитектуры. Аудиторы не могут ни передавать, ни разделять с кем-либо (в т.ч. с экспертом) свою ответственность за выражение мнения о состоянии IT-системы и составленного на его основе аудиторского заключения. Более подробно этот вопрос освещен в МСА 620 «Использование работы экспертов».

Эксперт может быть привлечен на договорной основе клиентом или аудитором или являться сотрудником клиента или аудитора.

В соответствии с МСА 220 «Контроль качества аудита финансовой отчетности организации» при оценке способностей и компетентности эксперта, который является сотрудником аудиторской фирмы, аудитор должен полагаться на внутрифирменную систему контроля качества в отношении набора и подготовки персонала, что освобождает аудитора от необходимости оценивать способности и компетентность эксперта каждый раз при его привлечении к выполнению аудиторского задания.

Планируя использовать работу эксперта, аудитор должен оценить его профессиональную компетентность. Такая оценка включает следующие критерии:

  • наличие у эксперта профессионального аттестата или лицензии либо членство в соответствующей профессиональной организации;
  • наличие у эксперта опыта и репутации в той области, в которой аудитор проводит сбор аудиторских доказательств.

Аудитор должен также оценить объективность эксперта. Риск того, что эксперт будет не вполне объективен, увеличивается, если он является сотрудником клиента или связан с клиентом каким-либо иным образом, например является финансово зависимым от клиента или имеет инвестиции в его деятельность.

Если аудитор сомневается в компетентности или объективности эксперта, то ему необходимо обсудить с руководством любые сомнения на этот счет и вероятность получения достаточных надлежащих аудиторских доказательств в отношении работы эксперта. Аудитору могут потребоваться дополнительные аудиторские процедуры или аудиторские доказательства от другого эксперта.

При выдаче безоговорочно положительного аудиторского заключения аудитор не должен ссылаться на работу эксперта. Такая ссылка может быть принята за выражение аудитором мнения с оговоркой или за утверждение о разделении ответственности, что изначально не предполагается. Если же в результате работы эксперта аудитор принял решение о выдаче модифицированного аудиторского заключения, что может иметь место, то при разъяснении характера модификации целесообразно сделать ссылку на работу эксперта или описать ее в аудиторском заключении (включая указание на эксперта и степень его участия в аудиторском задании). В некоторых случаях аудитору может потребоваться получить от эксперта разрешение на включение такой ссылки в аудиторское заключение. Если в разрешении будет отказано, а аудитор полагает, что ссылка обязательна, то ему необходимо проконсультироваться у юриста.

Оценка возможностей учета с помощью информационной системы

В рамках аудита информационных систем аудитор должен проверить:

  • принципы функционирования компьютерной информационной системы (способы организации, ввода, настройки, обновления данных);
  • обеспечение архивирования и хранения данных;
  • наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных;
  • уровень программного обеспечения и наличие лицензий;
  • соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам (бизнес-процессам);
  • возможности настройки (обновления) программного обеспечения для гибкого реагирования на изменения законодательства;
  • возможности расширения функций имеющихся систем;
  • степень информационной безопасности (ограничение несанкционированного доступа);
  • общую информационную политику компании и ее планы по развитию системы информационных технологий.

Аспектам планирования аудита в среде компьютерных информационных систем посвящен раздел «Планирование». В нем отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь МСА 400 «Оценка рисков и внутренний контроль». В данном разделе указаны условия, обусловливающие уровень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования информационных систем, а также о доступности данных для использования при аудите.

В соответствии с МСА 400 аудитору следует использовать свое профессиональное суждение для оценки аудиторского риска и разработки аудиторских процедур, способствующих снижению этого риска до приемлемо низкого уровня.

В качестве процедур контроля названы:

  • отчеты, проверка и утверждение проведенных сверок;
  • проверка арифметической точности записей;
  • осуществление контроля над прикладными программами и средой компьютерных информационных систем, например, посредством контроля над изменениями компьютерных программ и доступа к файлам данных;
  • ведение и проверка аналитических счетов и оборотных ведомостей;
  • утверждение документов и контроль над ними;
  • сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
  • сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями;
  • ограничение прямого физического доступа к активам и записям;
  • анализ финансовых результатов и их сравнение с расходами, предусмотренными сметой.

При планировании стадий аудита, на которые могут повлиять информационные системы субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования этих систем, а также о доступности данных для использования при аудите. Прикладная программа считается сложной, если, например:

  • объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;
  • компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;
  • компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;
  • обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет их правильности или приемлемости;
  • невозможно отследить ответственность пользователя, производившего те или иные изменения в финансовой отчетности.

На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов компьютерных систем.

В данном случае аудитор может рекомендовать проанализировать, существует ли производственная необходимость в неограниченных правах сотрудников, обслуживающих информационную систему, и как организовать процесс управления изменениями и доступом. Он может порекомендовать протоколировать все действия пользователей, обладающих расширенными полномочиями, организовать аудит событий, чтобы была возможность однозначно установить ответственность сотрудника за действия в системе, и установить хронологию внесения изменений.

Оценка влияния информационной системы на аудит в целом

Если информационные системы играют значительную роль, аудитор должен получить представление о них и о возможности их влияния на оценку неотъемлемого риска и риска системы контроля. Согласно разделу «Оценка риска» аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности.

Это обусловлено тем, что неотъемлемые риски системы контроля в информационных системах могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации. Риски могут быть связаны с такими факторами в функционировании компьютерных систем, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты информационных систем, а также контроль над доступом к специализированным обслуживающим программам. Риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке.

Несмотря на то что общая цель и объем аудита в IT-сфере не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом компьютер влияет на аудит.

В разделе «Процедуры аудита» отмечается, что аудитор должен учитывать компьютерные информационные системы при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного количества доказательств аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные на компьютере, либо использовать и то и другое. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса или подтверждения без помощи компьютера.

Отдельного внимания заслуживает ситуация, когда в организации внедряется новая информационная система, это требует значительных средств и должно быть соответствующим образом отражено в отчетности. В таком случае в числе задач службы внутреннего аудита могут быть анализ результатов внедрения информационной системы, оценка эффективности различных этапов внедрения, степень соответствия ожиданиям руководства.

Самым сложным, длительным и трудоемким этапом проверки является сквозное тестирование внедренной учетной системы. Группе аудиторов необходимо не только проверить, насколько работа системы соответствует заданным алгоритмам, полноту и корректность учетных данных, но и оценить уровень программного контроля подтверждения (согласования) документов в системе, определяющего иерархию ответственности и адекватное разграничение полномочий. Кроме того, необходимо определить степень автоматизации учетных процессов, чтобы минимизировать дополнительные трудозатраты, связанные с ручным контролем. В процессе тестирования службой внутреннего аудита оценивается также совершенство системы автоматического контроля некорректных действий в учетной системе (неподтвержденных, фальсифицированных данных, ошибок ручного ввода), что позволяет снизить финансовые риски. В системе должны быть организованы периодические сверки, анализы данных и отчетов, чтобы выявить возможные отклонения.

Вопросам надежности и безопасности системы в ходе проверки также уделяется значительное внимание. Недостатки в организации контроля доступа к системе выявляются посредством специализированных аудиторских процедур — периодического анализа прав пользователей на предмет их избыточности, системного подхода к разделению полномочий с помощью ограничения доступа к бизнес-функциям.

На заключительном этапе проверяются пользовательская документация и процесс управления документацией, неактуальность которой, особенно в случае внедрения новой системы, может привести к снижению эффективности и оперативности работы пользователей, а также затруднит проведение адекватного анализа рисков и снизит уровень качества контроля в процессе управления проектом.

Аудит IT-сферы помимо проверки компьютерных систем включает и аудит локальных сетей, используемых организацией.

Влияние электронной торговли на аудит финансовой отчетности

Использование Интернета для связи коммерческой организации с потребителем, партнерами и правительством приводит к возникновению новых элементов риска, которым подвержена деятельность организации и которые рассматриваются аудитором при планировании и проведении аудита финансовой отчетности. При таком аудите специалистам нужно пользоваться Положением по международной аудиторской практике 1013 «Электронная торговля: влияние на аудит финансовой отчетности».

Уровень знаний и навыков, необходимых для понимания того, как электронная торговля влияет на аудиторскую проверку, зависит от сложности коммерческой деятельности компании. Аудитор рассматривает, обладают ли сотрудники, назначенные на задание, соответствующими знаниями в области интернет-бизнеса и информационных технологий.

Эти знания могут потребоваться, чтобы:

  • определить степень влияния на финансовую отчетность:

стратегии и деятельности юридического лица в сфере электронной торговли;

технологии, используемой организацией для электронной коммерции, а также IT-навыков и знаний персонала организации;

рисков, возникающих при использовании организацией электронной коммерции, и методов управления такими рисками;

  • определить характер, временные рамки и объем аудиторских процедур, а также оценить аудиторские доказательства;
  • рассмотреть степень влияния электронной торговли на способность организации непрерывно функционировать.

Здесь также аудитор может использовать работу эксперта, например, когда необходимо проверить уязвимость системы безопасности организации или возможность проникновения в нее. Если аудитор решил использовать работу эксперта, ему следует получить достаточное и уместное аудиторское доказательство того, что такая работа адекватна целям аудиторской проверки.

В процессе получения информации о бизнесе организации аудитор должен рассмотреть влияние на финансовую отчетность:

  • коммерческой деятельности организации и отрасли, в которой она функционирует;
  • стратегии электронной торговли организации;
  • степени использования электронной торговли;
  • внешних мероприятий (использование услуг организаций, например поставщиков прикладных систем и т.д.).

Руководство организации сталкивается со многими рисками, связанными с электронной торговлей, включая:

  • потери операционной целостности информационной системы;
  • распространяющиеся риски безопасности электронной торговли, включая вирусные атаки и потенциальные потери в случае мошенничества клиентов, служащих и других лиц через неправомочный (неавторизированный) доступ;
  • неадекватную учетную политику организации, связанную с капитализацией расходов (например, затраты на развитие веб-сайта), недоразумениями в сложных договорах, переводом иностранных валют, созданием резервов на гарантии или возвраты и с проблемами признания дохода;
  • несоблюдение правил налогообложения и других законодательных и нормативных требований, особенно в случаях, когда интернет-сделки проводятся за границу;
  • отсутствие гарантии обязательности контрактов, заключенных только электронными средствами;
  • слишком большую уверенность в электронной торговле при размещении информации в Интернете;
  • сбои и «аварии» в системе и инфраструктуре.

Организация реагирует на бизнес-риски, возникающие в электронной торговле, путем создания инфраструктуры безопасности, связанных с ней средств контроля и разработки соответствующих мер:

  • проверки идентичности клиентов и поставщиков;
  • получения гарантии целостности сделок;
  • получения соглашений на условия сделки;
  • получения оплаты и обеспечения средств обслуживания кредита для клиентов;
  • установления секретности и защиты информационных протоколов.

Аудитор должен рассмотреть, соответствуют ли целям финансовой отчетности контрольная среда и процедуры контроля, которые организация применяет в деятельности по электронной торговле. Нужно обратить внимание, что электронные операции не оформляются бумажными записями, а электронные записи могут быть легко уничтожены или изменены, причем доказательств изменения или уничтожения не останется. Аудитор рассматривает, является ли безопасность информационной политики организации и средств контроля безопасности соответствующей, позволит ли она предотвратить неправомочные изменения в системе учета и составления отчетности или в системах обеспечения данных учета.

Аудиторское заключение

Аудитор может проверить автоматизированный контроль, например целостность электронного доказательства, электронные печати данных, цифровые подписи. В зависимости от оценки этого контроля он может выполнить дополнительные процедуры, например провести подтверждение операций или остатков на счете с третьими лицами.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков и включает рекомендации по их устранению. Заключение позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Аудиторское заключение представляется в виде «Наблюдение — Риски (возможные последствия) — Рекомендации (желательные и необходимые мероприятия)». По результатам проверки составляется подробное заключение по всем существенным вопросам:

  • оценка степени автоматизации и настройки учетных процессов;
  • адекватность контрольных процедур;
  • анализ однородности и совместимости системных решений;
  • анализ рисков, связанных с внедрением новых информационных систем;
  • ошибки и несоответствия в автоматизированных системах;
  • мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;
  • вопросы сохранности информации и восстановления данных;
  • оценка качества информационной безопасности (организация и управление ролями и полномочиями в компьютерных информационных системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);
  • структура ролей в IT-отделе и степень зависимости безопасности компании от кадров данного отдела, оценка квалификации сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения риска потери ценных кадров, обладающих реальным практическим опытом.

В заключение стоит сказать, что специфические правила аудита компьютерных систем обозначены также в МСА 1001 «Использование среды КИС (компьютерных информационных систем) — автономных компьютеров», МСА 1002 «Использование среды КИС — интерактивных компьютерных систем», МСА 1003 «Использование среды КИС — систем баз данных», МСА 1008 «Оценка рисков и системы внутреннего контроля в системах КИС и связанные с ними вопросы».

О.Г.Попова

Налоговый консультант

От технического оснащения и состояния действующей информационной структуры предприятия во многом зависит его работоспособность. Правильно подобранные инструменты позволяют не только своевременно и качественно решать текущие задачи организации, но и значительно снизить текущие затраты в долгосрочной перспективе. Аудит информационных систем дает руководителю понимание текущего состояния инфраструктуры, позволяет оценить ее соответствие задачам организации и составить план развития на ближайшее будущее.

Аудит информационных систем можно разделить на три составляющие: аудит технического состояния, аудит программного состояния, аудит сетевой инфраструктуры.

При проведении аудита технического состояния проверку проходит каждое аппаратное средство на предприятии, в том числе рабочие станции, серверное оборудование, периферийные устройства, программное обеспечение, кабельная система, сети передачи данных, а также анализируется работа ИТ-отдела предприятия. По результатам проверки дается заключение об актуальном состоянии ИТ-инфраструктуры, ее слабых местах и даются соответствующие рекомендации о дальнейших мероприятиях по улучшению системы.

Аудит программного обеспечения позволяет руководителям компании оценить эффективность использования и внедрения как определенных программных продуктов, так и комплексных ПО. Проведение аудиторской проверки программного обеспечения будет полезна тем организациям, которые планируют перейти на новые версии ПО, модернизировать существующие бизнес-процессы за счет внедрения новых программных средств, а также оценить текущее состояние системы.

Аудит сетевой инфраструктуры позволяет руководителям понять текущее состояние существующей сети, провести тестирование портов, магистральных линий и другого сетевого оборудования. По результатам исследований разрабатывается отчет, в котором также указываются слабые места, разрабатываются рекомендации по модернизации сети и, при необходимости, производится расчет объема инвестиций для внедрения предложенных решений.

Наша компания является системным интегратором широкого профиля, предоставляющий свои услуги на всей территории Российской Федерации. Нам доверяют ключевые министерства и ведомства регионального уровня, а также крупные торговые и производственные холдинги как в регионе, так и за его пределами. Наши компетентные сотрудники помогут Вам подобрать оптимальное решение именно для Вас, окажут всестороннюю пред- и постпродажную поддержку в проекте, а также услуги по интеграции решений в действующую инфраструктуру любой сложности.

Связаться с нами

IT аудит информационной системы

Долгое время у меня лежал черновик документа по ИТ аудиту информационной системы. Последнее время я немного занимался этой темой, поэтому решил его опубликовать и обсудить с вами. Аудит писался как план действий и одновременно предложение для организаций. Думаю, он многим будет полезен, а я рассчитываю его дополнить и подредактировать с вашей помощью.

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти .

Введение

Информационная система является важной и неотъемлемой частью организации. Качество ее работы может прямо или косвенно влиять на доходы и расходы компании. Своевременное обслуживание и аудит ИТ системы позволяет снижать издержки и увеличивать уровень надежности и безопасности.

Простым примером роста издержек может служить распространенная в последнее время ситуация с договором на телекоммуникационные услуги в долларах или у.е. При росте курса растут расходы. В таких случаях нужно своевременно среагировать на ситуацию и изменить условия договора или поменять поставщика услуг.

Ненадлежащее качество хранения резервных копий коммерческой информации может привести к прямым финансовым потерям в случае выхода из строя оборудования. Регулярная проверка доступности системы архивирования поможет избежать потерь в будущем.

Уволенный нелояльный сотрудник с административными правами может серьезно нарушить работу информационной системы, если ему своевременно не отключить доступ.

Медленная работа базы данных может увеличивать нагрузку на менеджеров, работающих с клиентами, что косвенно увеличивает расходы организации на содержание штата сотрудников.

Эти и многие другие моменты требуют постоянной качественной работы по обслуживанию информационной системы. Для проверки текущего состояния, я предлагаю провести ИТ аудит организации. Данная работа проводится по следующей схеме.

Инвентаризация объектов аудита

На данном этапе выбирается цель аудита. В зависимости от цели обозначается круг исследуемых объектов в информационной системе. Примером объектов могут служить:

  • серверное и пользовательское оборудование;
  • программное обеспечение;
  • телефония;
  • системы передачи данных и д.р.

Определение внешних точек доступа в информационную систему и их защищенность

Производится анализ всех возможных подключений из интернета для доступа к ресурсам локальной сети организации. Примером таких ресурсов может быть доступ:

  • к почтовым ящикам пользователей;
  • rdp доступ для управления компьютером или сервером;
  • доступ к файлам на сетевых ресурсах и др.

Проверка всех типов используемой информации и способы ее архивирования

Анализируется вся информация организации, которая представляет ценность. Составляется ее каталог и схемы резервного копирования. Примером такой информации могут служить:

  • письма в почтовых ящиках пользователей;
  • базы данных CRM систем;
  • личные файлы пользователей;
  • информация на общих сетевых дисках и др.

Составляется схема архивирования информации, на которой будет отражена глубина и полнота архивов, возможность восстановления информации и сроки этого процесса.

Анализ производительности серверов и каналов связи

На основе реальной загрузки серверной инфраструктуры проверяется соответствие используемых ресурсов для выполнения поставленных задач. Ресурсы могут быть как излишними, что ведет к повышению затрат на поддержку, так и недостаточными, что приводит к снижению быстродействия работы информационной системы и удорожанию ее обслуживания.

Оценка надежности оборудования и времени восстановления в случае сбоя

Оценивается качество оборудования и его функциональные возможности по предотвращению или восстановлению в случае сбоя в работе. К таким качествам, к примеру, относится

  • наличие рейд-контроллера и настроенного рейда для хранения информации;
  • возможность горячей замены жестких дисков или блоков питания на серверах;
  • подключение оборудования к источникам бесперебойного питания и др.

На основе этой информации и полученных ранее данных о схеме бэкапа оценивается примерное время восстановление работоспособности информационной системы в случае выхода из строя различных узлов.

Аудит учетных записей

Проверка всех учетных записей с обычным и административным доступом к ресурсам информационной системы. Это могут быть данные для получения административных прав на контроллере домена, сервере баз данных, для доступа к серверу видео наблюдения, системы контроля доступа в помещения, обычный доступ к общим сетевым дискам и д.р.

Анализ способов хранения и передачи учетных данных.

Проверка лицензионного ПО

Аудит установленного программного обеспечения в информационной системе. Проверка соответствия установленного ПО количеству приобретенных лицензий. Выявление нарушений в установке и использовании ПО. Оценка стоимости для легализации всего использующегося ПО.

Аудит телефонной связи

Анализ направлений звонков и их сопоставление с текущими тарифными планами. Рассмотрение подключения дополнительных линий для снижения затрат на звонки по определенным направлениям. Проверка возможности перевода телефонии на IP протокол для автономности от локального оператора связи.

Анализ системы мониторинга

Проверка работы существующей системы мониторинга информационной системы. На основе собранных ранее данных, выполняется оценка качества мониторинга с учетом выявленных критических узлов в системе и регламентному времени реагирования на события.

Проверка работы ИТ отдела

Анализируется имеющая документация ИТ отдела, такая как:

  • инструкции по работе с пользователями и ресурсами сети;
  • план действий на случай нештатных ситуаций или аварий;
  • должностные инструкции сотрудников;
  • регламенты обслуживания;
  • схемы информационных систем и т.д.

Проверяется структура отдела и распределение ролей сотрудников.

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

Буду рад комментариям, замечания дополнениям. Текст составлен полностью мной, нигде и ни у кого не копировал, не подсматривал. Основывался только на своем опыте, поэтому мог что-то упустить или забыть. Я работаю только с малым и среднем бизнесом, поэтому материал актуален только для них.

Если кого-то заинтересовал подобный аудит, и вы хотите провести его у себя в компании, обращайтесь ко мне.

Онлайн курс Основы сетевых технологий

Теоретический курс с самыми базовыми знаниями по сетям. Курс подходит и начинающим, и людям с опытом. Практикующим системным администраторам курс поможет упорядочить знания и восполнить пробелы. А те, кто только входит в профессию, получат на курсе базовые знания и навыки, без воды и избыточной теории. После обучения вы сможете ответить на вопросы:

  • На каком уровне модели OSI могут работать коммутаторы;
  • Как лучше организовать работу сети организации с множеством отделов;
  • Для чего и как использовать технологию VLAN;
  • Для чего сервера стоит выносить в DMZ;
  • Как организовать объединение филиалов и удаленный доступ сотрудников по vpn;
  • и многое другое.

Уже знаете ответы на вопросы выше? Или сомневаетесь? Попробуйте пройти тест по основам сетевых технологий. Всего 53 вопроса, в один цикл теста входит 10 вопросов в случайном порядке. Поэтому тест можно проходить несколько раз без потери интереса. Бесплатно и без регистрации. Все подробности на странице .

Помогла статья? Есть возможность отблагодарить автора