Регулирование аудита информационных систем
Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт "Аудит в условиях компьютерной обработки данных (КОД)". Из зарубежных источников можно отметить международный стандарт аудита ISA 401, положения по международной практике аудита 1002, 1003, 1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.
Российский стандарт содержит общие требования к проведению аудита в условиях КОД, описывает действия аудитора, аудиторские доказательства и документирование, процедуры аудита и требования по компетентности аудитора. В нем достаточно детально рассматривается, каким образом трансформируется практика проверок в организациях, где компьютерная обработка данных охватывает все основные циклы работ, и какие цели должна преследовать проверка информационных систем.
К сожалению, данные стандарты в большей степени лишь очерчивают проблематику, не давая практических рекомендаций по аудиту организаций со значительным объемом компьютерной обработки как в бухгалтерской, так и в бизнес-деятельности. Они не описывают подходов к аудиту самих информационных систем.
Технология аудита информационных систем
Рассмотрим технологию аудита информационных систем в "базовом", наиболее простом понимании. Такой подход может быть применим в небольших и средних организациях.
При проведении проверки информационных систем внимание аудиторов, как правило, направлено на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь.
С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:
* отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;
* степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования;
* физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может стать причиной несанкционированных действий;
* масштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более длительного использования;
* достаточность вычислительной мощности технических средств для обработки данных в организации;
* соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.
В части контроля за программным обеспечением регулярной проверке подлежат:
- лицензионная чистота программного обеспечения, так как помимо юридических проблем при отсутствии лицензий сопровождение программных продуктов производителями не осуществляется и это может привести к серьезным сбоям в их работе;
- логическое разграничение прав доступа к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, что предотвращает несанкционированные действия и ограничивает доступ к конфиденциальной информации;
- порядок внесения изменений в программные продукты, смены версий, санкционированность и проработанность подобных действий, так как именно процесс изменений не только сам по себе несет существенные риски, но и способствует выявлению или обострению смежных проблем;
- система протоколирования всех действий пользователей в информационных системах, предоставляющая возможность оперативного контроля и проведения внутренних расследований;
- надежность системного программного обеспечения и используемой СУБД (системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;
- достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;
- наличие верификации прав доступа (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;
- корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя (расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация);
- корректность справочных данных, используемых при различных расчетах и операциях в информационных системах (курсы валют, процентные ставки, банковские идентификационные коды).
Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:
* общая структура служб ИТ и ее соответствие поставленным задачам;
* существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;
* регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;
* оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;
* технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующих требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ-персонала (при собственной разработке);
* технологии проведения отдельных операций с точки зрения их соответствия регламентам, политике информационной безопасности, удобства и эффективности их автоматизации;
* технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;
* наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий резервной вычислительной площадки и возможности быстрого восстановления данных.
Описанный выше подход является первой практической реакцией на требования дня. При более глубоком анализе проблемы становится очевидно, что следует широко (комплексно) подходить к ее решению. Необходимо дать аудиторам (как внутренним, так и внешним) методологию проверки, содержащую программу аудита, основные критичные циклы, систему оценки, возможность делать не только замечания, но и давать рекомендации по улучшению. Но многие аудиторы не имеют специальных технических знаний и самостоятельно не способны разработать методику проверки ИС. С другой стороны, для минимизации рисков в условиях компьютерной обработки данных необходимо не только проводить проверку, аудит ИС, но и правильно построить управление ими, внедрить эффективную систему внутреннего контроля. Что же делать в этой ситуации? К счастью, решение существует - это уже упоминавшийся СоblТ.
Нами были приведены общая схема описанных областей, их составляющие и система взаимодействия, которая в методологии СоblТ называется "золотое правило".
По каждой из областей эта методология содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контроля, то есть все то, что мы уже отмечали и что так необходимо с точки зрения аудита в условиях компьютерной обработки данных. Методология СоblТ представляет собой набор из нескольких книг: руководство по аудиту, руководство для менеджмента, контрольные процедуры, руководство по внедрению.
Похожие работы:
- Регулирование аудита информационных систем
Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт "Аудит в условиях компьютерной обработки данных (К...
- Аудит информационных систем
Практически ни одна компания, в какой бы индустрии она не работала, не в состоянии сегодня обходиться без использования современных информационных технологий. А в некоторых отраслях (таких, как финанс...
- Классификация информационных систем
Классифицировать информационные системы достаточно сложно из-за их разнообразия и постоянного развития структур и функций.
В качестве признаков классификации используются: область применения, охватыв...
- Аудит в среде коппъютерных информационных систем
Дополнительные процедуры, которые необходимо соблюдать при проведении аудита в условиях компьютерных информационных систем (КИС), раскрыты в МСА 401 «Аудит в среде компьютерных информационных си...
- Планирование аудита
Планирование аудита заключается в определении его стратегии и тактики, выборе процедур и методов, позволяющих наиболее эффективно достичь поставленной цели — подтверждения достоверности бухгалте...