Использование информационных систем в аудите

Тип работы:
Контрольная
Предмет:
Экономические науки


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Использование информационных систем в аудите

Введение

К информационной системе — основному инструменту современного бизнеса предъявляется ряд критериев, касающихся надежности, стабильности и безопасности. На сегодняшний день информационные технологии настолько глубоко проникли в нашу жизнь что стабильная работа ИТ инфраструктуры является залогом успешного развития бизнеса.

Развитие информационных систем приносит компании очевидную пользу. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. Информационный аудит позволяет выявить эти риски, оценить эффективность информационной системы и выбрать направления для ее совершенствования.

1. Использование информационных систем в аудите

1.1 Основные требования к информационному обеспечению применения компьютеров в аудите

информационный аудит риск компьютер

Всякая информационная система должна содержать следующие обеспечивающие компоненты: информационное, программное и техническое.

Информационное подразделяется на внемашинное (документы и справочники) и базы данных (машинные носители: дискеты, диски RV и др.)

Программное обеспечение включает операционную систему и пакеты прикладных программ, реализующих алгоритмы обработки информации в широком смысле слова.

Техническое — описание технологии обработки информации (ввод, преобразование, вывод, хранение, защита).

Из аудиторского правила (стандарта) аудиторской деятельности «Проведение аудита с помощью компьютеров» (одобренное Комиссией по аудиторской деятельности при Президенте Р Ф 11 июля 2000 г.) следуют следующие положения:

1. Информационное обеспечение аудита с применением компьютеров включает два основных источника:

а) данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;

б) нормативно — справочную базу и систему форм рабочей документации аудитора.

2. Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена:

а) организационно — в договоре о проведении аудита желательно отразить согласие экономического субъекта на использование базы данных или ее фрагментов в процессе аудита;

б) технически — в договоре о проведении аудита при необходимости следует отразить состав, форму и срок предоставления аудитору для анализа базы данных или ее фрагментов;

в) программно — система аудита с применением компьютеров при необходимости должна иметь в своем составе блок, обеспечивающий конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором.

3. Аудитор может использовать для анализа не саму базу данных или фрагменты рабочей базы данных, а ее копию.

4. Сформированная или полученная для анализа копия базы данных должна быть идентична той, на основании которой экономический субъект формирует все бухгалтерские регистры и отчетные документы. Прежде чем приступить к анализу ее содержания, аудитор должен убедиться в таком соответствии или сделать копию базы данных самостоятельно. Для проверки соответствия должна применяться специальная система тестов.

5. Нормативно — справочные данные системы, используемой аудитором для проведения аудита, должны соответствовать проверяемому периоду.

6. Аудитор должен обеспечить конфиденциальность как полученной информации, так и информации, созданной в ходе аудиторских процедур, а также ее защиту от несанкционированного доступа.

7. Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:

а) анализ содержания формируемой в бухгалтерии экономического субъекта базы данных, если таковая существует и доступна;

б) контроль показателей, содержащихся в регистрах бухгалтерского учета экономического субъекта;

в) тестирование алгоритмов, используемых в автоматизированной системе бухгалтерского учета;

г) контроль соответствия показателей, содержащихся в формах бухгалтерской отчетности, данным бухгалтерских регистров или базы данных, формируемой в бухгалтерии при обработке первичных документов;

д) использование возможностей поисково — справочных информационных систем в области нормативных и законодательных актов, регламентирующих бухгалтерский учет и аудит в Российской Федерации;

е) формирование аудиторской документации (рабочей и итоговой).

1.2 Особенности планирования аудита с применением компьютеров

При составлении плана аудиторской проверки с применением компьютеров в соответствии с правилом (стандартом) «Планирование аудита» каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом информационных технологий и системы компьютерной обработки данных (КОД). Уровень автоматизации обработки учетной информации должен быть учтен при определении объема и характера аудиторских процедур.

При планировании проведения аудита с применением компьютеров следует учесть:

· наличие в аудиторской организации необходимого обеспечения (информационного, программного, технического) как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров;

· дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом;

· факт привлечения к работе экспертов в области информационных технологий;

· знания, опыт и квалификацию аудитора в области информационных технологий;

· целесообразность использования тестов, производимых без использования компьютеров;

· эффективность использования компьютера при проведении аудита.

В программе аудита целесообразно отметить, какие аудиторские процедуры будут выполнены с применением компьютеров.

Для планирования аудита с использованием компьютеров важно оценить систему КОД экономического субъекта, изучив следующие моменты:

Ч особенности информационного, программного и технического обеспечения экономического субъекта;

Ч особенности организационной формы обработки данных у экономического субъекта (например, осуществляет ли обработку специальное подразделение или компьютеры установлены на рабочих местах бухгалтерского персонала и обработка данных осуществляется непосредственно бухгалтерами; ведется ли обработка данных экономическим субъектом самостоятельно или ведется по договору с третьей стороной и т. п.);

Ч разделы и участки учета, функционирующие в среде КОД;

Ч способ передачи данных (с использованием каналов связи, через внешние носители (например, дискеты), ввод данных с клавиатуры);

Ч особенности обеспечения архивирования и хранения данных;

Ч особенности размещения: являются ли рабочие места локальными или они объединены в сеть.

1. 3 Риски информационных технологий

Исторически под термином «риск информационных технологий», или «ИТ риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности — вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

* выбора неоптимального решения по автоматизации;

* ошибок при проектировании;

* нарушения расчетных сроков и бюджета проекта;

* несоответствия между инфраструктурой и решениями по автоматизации;

· технических и организационных ошибок при инсталляции систем.

На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:

— неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;

— неиспользование всего потенциала технологий;

— невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;

— неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;

— ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть информационную систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень ИТ-рисков и тем больше эффективность использования информационных технологий. При формирования информационной системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20 000 и др.)

2. Контрольные объекты информационной технологии

2. 1 ISACA

Подход к предоставлению аудита информационной системы как отдельной самостоятельной услуги с течением времени упорядочился и стандартизировался. Крупные и средние консалтинго-аудиторские компании образовали ассоциации — союзы профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое «ноу-хау». Однако существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита информационных систем (http: //www. isaca. org/). Ассоциация основана в 1969 году и в настоящее время объединяет около 20 тыс. членов более чем из 100 стран, в том числе и России, где создано ее отделение. Ассоциация координирует деятельность свыше 12 тыс. аудиторов информационных систем.

Основная декларируемая цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

2. 2 CoBiT

В помощь профессиональным аудиторам, руководителям отделов информационно-технической поддержки, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан открытый стандарт CoBiT, первое издание которого в 1996 году было продано в 98 странах и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий получить адекватное представление о целях и задачах информационной системы, учитывая все особенности информационных систем любого масштаба и сложности.

Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимая во внимание все утвержденные ранее стандарты и нормативные документы: технические стандарты, кодексы, профессиональные стандарты, требования и рекомендации, требования к банковским услугам, системам электронной торговли и производству.

Стандарт CoBiT может применяться как для аудита информационной системы организации, так и на этапе ее проектирования. Если в первом случае проверяется соответствие текущего состояния информационной системы передовой практике аналогичных организаций и предприятий, то во втором использование стандарта позволяет спроектировать информационную систему, стремящуюся к идеальному соотношению «цена / качество».

Четыре базовые группы (домены) содержат в себе 34 подгруппы, которые в свою очередь состоят из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии информационной системы.

Отличительными чертами CoBiT являются большая зона охвата (все задачи, от стратегического планирования и основополагающих документов до анализа работы отдельных элементов информационной системы), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.

В области стандартизации аудита информационных систем существуют многочисленные западные, а также российские разработки, однако CoBiT отличает прежде всего возможность относительно легкой адаптации к особенностям российских информационных систем и то обстоятельство, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Они могут быть обусловлены критическими точками информационной системы (элементами, в которых наиболее часто возникают проблемные ситуации), либо принимается решение о проведении полного аудита с последующей углубленной проверкой выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии информационной системы в соответствии со стандартом CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования информационной системы, как в двоичной форме (Да / Нет), так и в форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т. д.) на получение информации и ее актуальностью.

Анализ — наиболее ответственная часть аудита. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации имеются в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа становятся базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

Контроль выполнения рекомендаций — немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации создаются документы, отсутствие которых, например документов, содержащих углубленное рассмотрение вопросов обеспечения безопасности информационной системы, может вызвать сбои в ее работе.

Постоянное проведение аудита гарантирует стабильность функционирования информационной системы, поэтому создание плана-графика последующих проверок является одним из результатов профессионального аудита.

2. 3 Использование CoBiT в Сбербанке

Бизнес банка чрезвычайно широк, и на всем этом оборудовании работает большое количество прикладных систем. Обслуживание этого обширного хозяйства ИТ-персоналом до начала внедрения системы управления ИТ было регламентировано довольно слабо. Все это приводило к большому количеству сбоев и перерывов в бизнесе. Первой целью было кардинальное снижение количества инцидентов и сокращение сроков их устранения.

Основное условие внедрения информационных систем в предприятие не количество ПК в компании, а количество ИТ-персонала и уровень его специализации.

Для аудита ИТ в Сбербанке используется система CoBiT.

Анализируя результат внедрения, очень сложно отделить технологическую составляющую от организационной. Если оценивать трудозатраты в процессе внедрения, то основная их доля приходится на организационную сторону, а внедрение ИТ-компонентов составляет гораздо меньшую часть. Например, HP Service Desk было внедрено в течение трех месяцев. Как только вся информация попадает в Service Desk, системные администраторы лишаются иллюзии абсолютной власти над своими пользователями. Если говорить о результатах, на первом этапе основные результаты были достигнуты за счет организационных усилий. Технологии как таковые просто поддерживали внутренние организационные изменения. Например, в три раза сократилось время устранения инцидентов, т. е. людей поставили под контроль и они стали работать более дисциплинированно. Затем время устранения инцидентов стабилизировалось, их общее количество продолжало снижаться, но это снижение было уже не очень значительным. Именно тогда возникла потребность в серьезной технологической поддержке.

Время устранения инцидентов не изменялось потому, что основные усилия тратились на выяснение того, на каком участке случилась неисправность — оборудования, локальной сети, прикладного ПО. Например, специалисты по прикладному программному обеспечению тратили свое время на дозвон к сетевикам, а те, в свою очередь, узнавали о каких-то изменениях в службе безопасности. Соответственно, необходимо было создание интегрированной системы мониторинга, чтобы администраторы всех уровней — от системного администратора до CIO — могли видеть, в каком элементе инфраструктуры случился инцидент. Ранее существовавшие системы мониторинга были локальны — специалисты по серверам смотрели на серверы, сетевики смотрели на маршрутизаторы, администраторы прикладного ПО создавали свои проверочные скрипты.

Со временем технологии начали приносить реальные плоды. Основной вклад в общее число ошибок вносят люди — на долю «человеческого фактора» приходится 40−45% инцидентов. При этом неправильными действиями пользователей (операторов) вызывается около 30% инцидентов, 10−15% приходится на ошибки ИТ-персонала. Очень небольшое число сбоев приходится на долю серверов, но эти сбои — самые тяжелые по последствиям. И около 40−45% инцидентов выпадает на программное обеспечение.

Наличие информации позволяло принимать адекватные решения — была усилена система контроля над выпуском нового прикладного ПО, обеспечена интерактивная помощь пользователям. Например, любой сотрудник филиала может получить доступ к базе знаний по ошибкам и сценариям действия в случае их возникновения.

Существует несколько уровней потребителей информации, собираемая системой CoBiT:

· Первый уровень — руководители, которым информация доставляется в концентрированном виде. Например, на экране в кабинете директора управления внедрения и сопровождения автоматизированных систем видны основные параметры работы информационных систем. Таким образом, поставляемая руководителю информация дает основания для принятия им решений.

· Второй уровень — Service Desk. Имея перед собой данные о работе системы, сотрудник этой службы может более компетентно отвечать на вопросы пользователей. Например, если к нему поступает информация, что какой-то сервер проходит регламентное обслуживание, а через некоторое время раздается звонок от пользователя этого сервера, он уже знает, как на него реагировать.

· Третий уровень — администраторы серверов, локальных сетей, СУБД и прикладных систем. Каждый из них в любой момент времени видит картину работы своего участка системы и может действовать проактивно, а не реагировать на уже возникшие проблемы. Например, если очередь транзакций растет выше определенного предела, администратор может заранее, не дожидаясь звонков от пользователей, предпринять какие-то действия, чтобы разгрузить сервер. Основная цель внедрения CoBiT как раз и состоит в проактивном реагировании на возможные проблемы.

Заключение

Целенаправленное воздействие на систему, ведущее к изменению, либо сохранению ее состояния обеспечивается управлением. Экономический объект, как управляемая система, включает объект и субъект управления. Объектом управления экономического объекта является производственный коллектив, выполняющий комплекс работ, направленных на достижение определенных целей и располагающий для этого материальными, финансовыми и иными видами ресурсов. Субъект или система управления экономического объекта формирует цели его функционирования и осуществляет контроль их выполнения.

Основными функциями управления экономическим объектом являются планирование, учет, анализ, контроль и регулирование. Выполнение функций управления возлагается на аппарат управления, включающий службы и отделы, выполняющие отдельные функции: плановый отдел, финансовый отдел, бухгалтерия, отдел сбыта, снабжения и т. д. Совокупность взаимосвязанных органов, выполняющих частные функции управления, определяет организационную структуру системы управления.

Список литературы

информационный аудит риск компьютер

1. Подольский В. И. Компьютерные информационные системы в аудите. Учебник / ВФЭИ. — М., ЮНИТИ, 2007.

2. Аудит: Учебник для вузов / В. И. Подольский, А. А. Савин, Л. В. Сотникова и др.; Под ред. проф. В. И. Подольского. — 3-е изд., перераб. и доп. — М.: ЮНИТИ-ДАНА, Аудит, 2003.

3. http: //www. iqlib. ru/book/preview

4. http: //www. mdi. ru/encycl. php

5. http: //www. petaref. com/? page

6. http: //yandex. ru/yandsearch? p=1& text

ПоказатьСвернуть
Заполнить форму текущей работой