Развитие информационных систем приносит компании очевидную пользу. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. IT-аудит позволяет выявить эти риски, оценить эффективность IT-системы и выбрать направления для ее совершенствования.
Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности — вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.
Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:
Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)
Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:
IT-процесс | ||
Возможные признаки рисковой ситуации |
||
Стратегическое планирование IT |
||
На стадии стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии, что не позволяет в проактивном режиме оптимизировать работу IT-подразделения под фактические бизнес-требования. |
Стратегическое планирование IT-деятельности выполняется по мере необходимости в ответ на конкретное требование бизнеса, и поэтому результаты являются эпизодичными и непоследовательными. Вопросы стратегического планирования иногда обсуждаются на встречах только на уровне руководства департамента IT, а не руководителей бизнес-подразделений. Настройка приложений и технологий под потребности бизнеса является реакцией на внешнее воздействие, например на предложения поставщиков, а не осуществляется на базе стратегии, разработанной в компании. Оценка стратегического риска не формализована и осуществляется от проекта до проекта. |
|
Планирование IT-архитектуры |
||
Не оптимизирована структура информационных систем, что повышает избыточность данных (дублирование) в корпоративной системе, а также снижает уровень совместимости систем и приложений. |
Идет разрозненная разработка компонентов информационной структуры. Имеется частичная реализация схем данных, документации и правил синтаксиса данных. Определения относятся скорее к данным, чем к информации, и обусловлены предложениями поставщиков приложений. Разъяснение сотрудникам необходимости информационной архитектуры проводится хаотично и бессистемно. |
|
Управление персоналом |
||
Не оптимизирована политика в отношении найма и сохранения (мотивирования) квалифицированного персонала, что не позволяет обеспечивать максимальный вклад персонала в результат IT-деятельности. |
Используется неформальный подход к найму и управлению персоналом, обусловленный скорее потребностями конкретных проектов, чем направлением развития технологии и продуманным соотношением предложений квалифицированных сотрудников внутри организации и на стороне. Осуществляется неформальное обучение новых сотрудников. |
|
Управление проектами |
||
Не оптимизированы подходы к управлению проектами, что приводит к невыполнению обязательств по срокам и стоимости работ. Решение об использовании методики и подходов к управлению проектами в области IT оставлено на усмотрение отдельных менеджеров. |
Принципиальные решения по управлению проектами принимаются без управления пользователями и исходных данных клиента. Клиенты и пользователи не принимают участия в определении IT-проектов или их участие носит незначительный характер. IT-проекты плохо организованы: роли и обязанности участников, а также график выполнения проектов не определены, не отслеживаются трудозатраты. |
|
Приобретение IT-инфраструктуры |
||
Не оптимизирована и не стандартизирована деятельность по приобретению и обслуживанию инфраструктуры IT. При эксплуатации это приводит к снижению производительности систем и возникновению рисков безопасности в отношении данных и программ, хранящихся в системе. |
Для каждого нового приложения в инфраструктуру вносятся изменения без какого-либо общего плана. Обслуживание организовывается как реакция на краткосрочные потребности. Средой для тестирования является производственная среда. Приобретение и обслуживание IT-инфраструктуры не базируется на какой-либо определенной стратегии и не учитывает потребности бизнес-приложений, которые необходимо поддерживать. Графики обслуживания не разработаны в полном объеме, и деятельность не координируется. |
|
Управление услугами поставщиков |
||
Не установлены четкие договорные отношения (соглашения) с поставщиками IT-услуг, включая определение ролей, ответственности и ожиданий, а также проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия, что повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств. |
Отсутствует формальная политика и порядок заключения договоров со сторонними организациями. Не осуществляется оценка деятельности сторонних организаций. Сторонние организации не предоставляют отчетность. В отсутствие обязательств о предоставлении отчетности высшее исполнительное руководство не владеет информацией о качестве предоставляемых услуг. Отсутствуют типовые условия договоров с поставщиками услуг. Оценка предоставляемых услуг осуществляется произвольно и фрагментарно. Методика зависит от индивидуального опыта отдельно взятого лица и от поставщика (например, по запросу). |
|
Управление непрерывностью |
||
Отсутствует формализованный подход к созданию (поддержанию и тестированию) планов обеспечения непрерывности IT-деятельности (в том числе планов резервного хранения данных), что делает в случае наступления чрезвычайной ситуации высоковероятным возникновение значительных перерывов в предоставлении IT-услуг по ключевым направлениям и процессам бизнеса. |
Реакции на крупные нарушения заранее не продуманы и не подготовлены. Практикуются плановые отключения системы для обеспечения нужд IT-обслуживания без учета выполнения требований бизнеса. Подходы, применяемые к обеспечению непрерывности предоставления услуг, характеризуются неполнотой и фрагментарностью. Поступающая информация относительно доступности системы не учитывает состояние бизнеса. Нет документального обеспечения в отношении действий пользователя или в отношении обеспечения непрерывной работы. |
Источник: каталог рисков, разработанный компанией «ИТ эксперт»
Открытые стандарты
CobiT (Control Objectives for Information and related Technology) — международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) — стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology - Service management) — стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой — нацеленный на IT-услуги — аналог ISO 9001:2000.
На предварительном этапе аудита — этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:
Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки. Если заказчиком IT-аудита выступают представители руководства компании, то для получения более точного результата рекомендуется формировать анкеты в бизнес-терминах (табл. 2). С учетом временных и ресурсных параметров проведения аудита определяются границы аудита (сервисы, системы, подразделения и т.п.). При этом рекомендуется рассматривать наиболее значимые для целей бизнеса и/или распространенные сервисы и системы, чтобы иметь возможность на основе оценки определенной (ключевой) области аудита сделать объективные выводы о системе IT-управления в целом.
Описание IT-риска (из каталога рисков компании «ИТ Эксперт») | Оценка важности управления IT-риском | Выбранный вариант отметить |
На этапе стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии Последствия:
| Риск несущественный Пояснения к интервью: риск носит гипотетический характер и малозначим для деятельности компании (затраты на управление риском будут выше, чем полученный эффект) | |
Риск умеренный (приемлемый) Пояснения к интервью: признается важность управления указанным риском в стратегической перспективе (на данном этапе допускается предварительная проработка вопроса, не требующая привлечения финансовых инвестиций и затраты существенных временных ресурсов бизнес-руководителей) | ||
Риск выше среднего Пояснения к интервью: признается важность управления указанным риском (в том числе выделение временных и финансовых ресурсов) уже в краткосрочной перспективе | ||
Риск высокий Пояснения к интервью: допускается, что реализация данного риска не только возможна в краткосрочной перспективе, но и уже происходила | ||
Дополнительный параметр оценки Признается необходимость совместного участия IT и бизнеса в управлении данным риском |
||
Комментарии и пояснения: |
С учетом полученной информации аудитор формирует анкеты, в которых указывает параметры аудиторских процедур по каждому IT-процессу, в том числе наименование детализированных целей контроля и примерное количество уточняющих вопросов. Чтобы оценка системы IT-управления была всесторонней, формируется иерархия вопросов от частных до высокоуровневых. Для анализа оценки уровня зрелости IT-процессов рассматриваются частные вопросы, сгруппированные в детализированные цели контроля. При этом учитывается полнота и достоверность предоставленных аудиторам данных и свидетельств.
Для примера приведем структуру анкеты для оценки IT-процесса «Управление услугами подрядчиков»:
Риски недостижения целей процесса:
Влияние на достижение целей
IT-деятельности:
Детализированные цели контроля:
Критерии аудита | Самооценка или да/нет |
|
Положение о подразделении содержит указание на задачи, связанные с управлением конфигурациями | ||
В должностные инструкции сотрудников, отвечающих за управление конфигурациями, включены соответствующие записи | ||
Определен и адекватен охват CMDB (конфигурационной базы данных): серверы, ПЭВМ, СУБД, ПО, ЛВС | ||
Определена и адекватна степень детализации атрибутов конфигурационной единицы (наименование, тип, место, владелец, инвентарный номер, статус, документация, лицензии и др.) | ||
Регистрируются взаимоотношения (взаимосвязи) между конфигурационными единицами на физическом и логическом уровне | ||
Применяется порядок регистрации базисной конфигурации | ||
Определены и выполняются процедуры контроля над добавлением конфигурационной единицы | ||
Определены инициирующие события и периодичность проведения аудита CMDB (проверки того, насколько точно отражена текущая ситуация в CMDB) | ||
Применяются инструментальные средства аудита, которые могут автоматически выполнять анализ рабочих станций и формировать отчеты о текущей ситуации и статусе IT-инфраструктуры |
Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:
Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.
Отсутствие инцидентов — сигнал об опасности
В качестве примера рекомендаций по проведению верификации по конкретному вопросу — «Реагирование на инциденты информационной безопасности» — может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает. Поэтому процедуры сообщения о случаях нарушения безопасности, инцидент-reporting процедуры, должны быть предусмотрены независимо от того, происходили ли в прошлом какие-либо инциденты или не происходили. Необходимо проверять, имеется ли в данной организации ясное определение понятия «случай нарушения безопасности (инцидент)», и понимают ли его сотрудники, занимающие ответственные должности. Полезно задавать проверочные вопросы, например: «Если вы обнаружили, что ваш сейф с секретными материалами стоит открытый, а вокруг никого нет, то сочтете ли вы это случаем нарушения безопасности?», «Если служащий сообщил о том, что ему по ошибке выдали чужую зарплату, можно ли это считать случаем нарушения безопасности?»
Ключевой задачей аудитора на данном этапе является обеспечение транспарентности механизма формирования итоговых выводов как основного условия доверия к результатам аудита. Все заинтересованные стороны должны иметь возможность отследить причинно-следственную связь в цепочке преобразования результатов аудита от частных к итоговым оценкам. Остановимся на наиболее специфичных этапах преобразования оценок.
Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса (табл. 5). Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.
L = L1 + L2 + L3 + L4 + L5 |
|||
Уровень зрелости по разделу | Наименование | K — вес раздела (сумма баллов равняется 5) | R(Tn) — базовая оценка от 0 до 1 по итогам анкетирования и верификации (фактическая сумма оценок/максимально возможная сумма оценок) |
L1 = K × R(T1) | Компетенция | ||
L2 = K × R(T2) | Деятельность | ||
L3 = K × R(T3) × R(T2) | Документирование | ||
L4 = K × R(T4) × R(T2) | Измерение | ||
L5 = K × R(T5) × R(T2) | Совершенствование |
Расчет, представленный на рис. 2, позволяет построить тренд уровня зрелости IT-процесса.
Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности. Длительность постпроверочного периода (времени между аудитами) на практике в большинстве случаев составляет от года до трех лет и определяется с учетом законодательных и нормативных требований по периодичности, а также принципа разумной достаточности — исследуется период, который представляет наибольший интерес для целей формирования прогнозов на будущее.
Речь идет об уровне риска после его обработки, например после применения контрмер, направленных на его снижение. В рамках данной процедуры аудитор составляет ранжированный перечень выявленных рисков и сопоставляет базовый уровень риска с уровнем зрелости IT-процесса, отвечающего за управление данным параметром (табл. 6). Допустимым считается остаточный риск (S) 6 и менее. Умеренным — от 7 до 11. Высоким — от 12 до 16. Критическим — от 17 до 25.
Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент (рис. 3). Помимо стандартных рекомендаций по устранению выявленных в ходе аудита несоответствий (замечаний), результаты аудита могут быть использованы для разработки ключевых рекомендаций по тактике и стратегии совершенствования системы IT-управления в целом и отдельных IT-процессов, а также для формирования методической основы систем внутреннего контроля и аудита за информационными технологиями организации. Применение рассмотренной выше методики аудита позволяет компании взглянуть на свою систему IT-управления через призму международных стандартов и практического опыта и, как следствие, получить профессиональную экспертную оценку:
Уровень неотъемлемого риска от 0 до 5 (экспертная оценка) | Влияние уровня зрелости IT-процесса (в рамках которого управляется риск) от 0 до 5 | Оценка остаточного риска |
|
S = 5 × R1 - L 2 |
|||
Риск увеличения времени от начала разработки до готовности систем из-за отсутствия гибкой инфраструктуры | |||
Риск увеличения времени простоя инфраструктуры | |||
Риск увеличения проблем, связанных с производительностью работы приложений и вызванных несоответствиями в технологической инфраструктуре | |||
Риск нехватки мощностей при внедрении новых IT-решений | |||
Риск повышения затрат на IT-инфраструктуру вследствие создания необоснованных резервов «про запас» |
Известно, что зачастую внедренные на предприятии информационные технологии с самого начала остаются или становятся со временем "тайной за семью печатями" и для руководителей компании, и для сотрудников, и особенно для сторонних, но отнюдь не менее заинтересованных лиц - клиентов, инвесторов, партнеров. Конечно же, это не прибавляет доверия к компании, не гарантирует безопасности ее бизнеса, не способствует привлечению клиентов и инвесторов. ИТ-аудит - один из механизмов, позволяющих "пролить свет" на истинное положение дел в компании, оптимизировать работу информационных систем и, следовательно, бизнес в целом.
Основная цель IT аудита -- это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.
Мы предлагаем провести в Вашей компании IT аудит, который может состоять из следующих работ:
Для определения состава работ IT аудита, сроков проведения и стоимости работ рекомендуется провести IT-диагностику. Диагностика проводится в течение 3-5ти рабочих дней. В ходе диагностики собирается информация, необходимая для выявления ключевых проблем в области IT. На основании этой информации разрабатываются детальные предложения о проведении IT аудита в компании.
Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.
В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.
Аудит ИС направлен на достижение следующих целей:
В рамках аудита ИС выполняются следующие работы:
В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.
В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.
Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.
Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.
Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.
Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.
Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.
На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.
Возможности дальнейшего сотрудничества
Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:
Программа «IT Audit : Аудитор» представляет собой конструктор для разработки методики проведения аудита, предлагая аудиторам гибкий инструмент для помощи в проведении аудита. Программа «IT Audit : Аудитор» обеспечивает автоматизацию деятельности аудиторской фирмы, связанной с проведением аудиторских проверок хозяйствующих субъектов.
Программа «IT Audit : Аудитор» разрабатывалась с учетом требований международных стандартов аудиторской деятельности (постановление Правительства РФ от 23 сентября 2002 г. № 696).
При проведении аудита небольшого предприятия (период проверки - 5 дней) применение программы «IT Audit : Аудитор» позволяет качественно спланировать, провести и запротоколировать выполненные аудиторские процедуры и результат проверки; при проведении аудита на среднем и крупном предприятии - сократить время на проведение аудита на 10-30%.
Программа обеспечивает:
1) ведение справочников по методологии аудита;
2) ведение учета клиентов;
3) ведение общений с клиентами;
4) учет заключенных договоров;
5) импорт данных бухгалтерского учета клиентов;
6) планирование аудиторских проверок;
7) формирование аудиторских проверок;
8) составление плана аудита;
9) составление программы аудита;
10) описание хозяйственных операций клиента;
11) расчет уровня существенности;
12) проведение выборки и анализ результатов;
13) форум аудиторов (общение аудиторов);
14) формирование сводной информации о найденных нарушениях;
15) формирование альтернативной отчетности;
16) контроль качества аудита Ковалева О.В. Аудит. Учебное пособие / Под ред. О.В. Ковалевой, Ю.П. Константинова. - М.: ПРИОР, 2008. - с. 128..
Программа «IT Audit : Аудитор» позволяет систематизировать информацию по клиентам аудиторской фирмы (число не ограничено), хранить информацию о реквизитах клиента, фактическом и юридическом адресе, контактных лицах, переговорах с клиентом, заключенных договорах, ответственных за работу с клиентом лицах и др. Программа допускает сортировку клиентов по различным характеризующим их параметрам.
Сведения о клиентах хранятся в соответствующем Справочнике клиентов . В Справочник клиентов также заносится информация о сотрудниках проверяемой организации.
Информация о заключенных с клиентом договорах также может быть занесена в информационную базу системы.
В программе значительное место уделено методологическому сопровождению аудита, причем сопровождение может осуществляться как разработчиками, так и самой аудиторской фирмой.
В состав программы «IT Audit : Аудитор» включены следующие справочники:
1) объекты аудита (разделы аудита);
2) аудиторские процедуры;
3) потенциальные нарушения;
4) типовые операции.
Программа позволяет установить взаимосвязь между аудиторскими процедурами и нарушениями, объектами (задачами) аудита и аудиторскими процедурами. Взаимосвязь устанавливается с использованием справочников.
Справочник объектов (разделов) аудита является основным, а справочники аудиторских процедур, потенциальных нарушений и типовых хозяйственных операций - подчиненными.
Справочник «Аудиторские процедуры» используется при формировании программы аудита и содержит шаблоны рабочих документов аудитора, заполняемые при проведении аудита. Значительная часть рабочих документов может быть заполнена автоматическими данными бухгалтерского учета клиента. С использованием данного справочника может быть установлена базовая трудоемкость выполнения соответствующей аудиторской процедуры. Аудиторская процедура - определенный порядок и последовательность действий аудитора для получения необходимых аудиторских доказательств на конкретном участке аудита (объекте аудита).
Справочник «Потенциальные нарушения» содержит наименование и описание потенциального нарушения. При выявлении нарушений на аудируемом предприятии справочник используется при формировании отчета аудитора.
Необходимо рассмотреть, как в программе реализуются основные требования федеральных законов.
Правило (стандарт) №2 «Документирование аудита».
Программа «IT Audit : Аудитор» дает аудитору широкие возможности по документальному закреплению полученных при проведении аудита доказательств, формированию необходимых рабочих документов с целью выполнения федеральных правил (стандартов) аудиторской деятельности, обеспечению хранения и резервного копирования, просмотра и вывода на печать.
Приведенные требования стандарта выполняются программой в результате заполнения форм: «Планирование аудита», «План аудита», «Программа аудита», «Задание на аудит», «Описание хозяйственных операций клиента».
Полученная при проведении аудита информация хранится в разделах:
1) общая информация по клиенту;
2) информация, относящаяся к заключенному договору;
3) информация, относящаяся к периоду, за который будет сформировано заключение аудитора;
4) информация, относящаяся к конкретному периоду проведения аудита.
Программа предусматривает разграничение права доступа к информации в разрезе клиентов, обеспечивая надежное хранение информации по клиенту и этапам проведения аудита.
Правило (стандарт) №3 «Планирование аудита».
В программе «IT Audit : Аудитор» проводится планирование аудита с целью его эффективного проведения в программе аудита и форме «Описание хозяйственных операций».
Сформировать детальный план аудита можно в программе аудита, где учитываются применяемые аудиторские процедуры, их распределение мжду сотрудниками и очередность выполнения, устанавливаются плановая и фактическая трудоемкость выполнения аудиторских процедур, описание процедур контроля хода проведения аудита. При этом допускается внесение изменений в течение всего времени проведения аудита.
Правило (стандарт) №4 «Существенность в аудите».
Программа «IT Audit : Аудитор» позволяет выполнять расчет существенности несколькими способами: в целом по отчетности, распределять по счетам бухгалтерского учета в разрезе существенности:
1) по дебету счета;
2) дебетовому обороту счета;
3) кредитовому обороту счета;
4) кредиту счета.
Выбор аудиторских процедур производится в формах «Программа аудита» и «Описание хозяйственных операций». Совокупность неисправленных искажений обобщается в форме «Альтернативная отчетность».
Правило (стандарт) №7 «Внутренний контроль качества аудита».
Руководителю проверки предоставлена возможность текущего контроля хода проведения аудита, формирования задания и замечаний в формах «Описание хозяйственных операций», «Программа аудита», «Общение аудиторов».
В формах «Описание хозяйственных операций», «Программа аудита», «Общение аудиторов» имеется возможность детального описания действий аудиторов и их ассистентов при выполнении порученной работы, а также прикрепления подлежащих заполнению рабочих документов.
В настоящее время ведется работа по включению в программу новых правил (стандартов).
В форме «Проведение выборочного исследования» аудитор на основе проверяемой (генеральной) совокупности может отбирать элементы, превышающие уровень существенности, ключевые элементы и формировать выборочную совокупность различными способами.
Аудитору также предоставлена возможность анализировать хозяйственные операции клиента, представленные в форме «Описание хозяйственных операций», устанавливать способы проверки операций (сплошная проверка, выборочная проверка, непроведение проверки, подтверждение низкого уровня риска).
Встроенные в программу «IT Audit : Аудитор» средства фильтрации (отбора) данных бухгалтерского учета позволяют выполнять стратификацию данных по любым критериям с возможностью последующей выгрузки данных для выборочного исследования или заполнения рабочего документа аудитора.
Программа позволяет аудитору произвести экстраполяцию выявленных при проведении аудита ошибок на всю генеральную совокупность.
Преимущества применения программы по автоматизации аудита :
· программа продается и сопровождается непосредственно разработчиками (без посредников), что позволяет сократить расходы покупателя на приобретение программы и ее последующее сопровождение;
· охватывает все аспекты аудиторского бизнеса (занятость сотрудников, организация договорной работы, учет клиентов, планирование аудита, работа в «поле» и т.д.);
· позволяет систематизировать всю информацию по результатам аудиторской проверки, возможность архивации и последующего доступа к данным;
· широко используется сотнями аудиторских фирм (от компаний, входящих в первую десятку, до небольших аудиторских компаний и индивидуальных аудиторов);
· является конструктором и позволяет пользователям самостоятельно настраивать методологию аудиторской проверки;
· содержит значительное количество шаблонов рабочих документов аудитора;
· обеспечивает удобные средства загрузки в программу по автоматизации аудита данных бухгалтерского учета из наиболее распространенных бухгалтерских программ: 1С Предприятие 7.7 (8.1) и т.д.
· позволяет автоматически заполнять рабочие документы аудитора данными бухгалтерского учета;
· содержит шаблоны потенциальных нарушений, а также инструменты для ее самостоятельного наполнения пользователями;
· предусмотрены различные способы статистического выборочного исследования: собственно-случайный (повторный и бесповторный), механический (систематический), монетарный собственно-случайный (повторный и бесповторный) способ;
· производится автоматическое формирование постоянного (переменного) файла по результатам аудиторской проверки;
· имеет интуитивно понятный интерфейс, большой объем разработанной документации на программу и учебные материалы (Flash-ролики), что позволяет быстро приступить к работе Ковалева О.В. Аудит. Учебное пособие / Под ред. О.В. Ковалевой, Ю.П. Константинова. - М.: ПРИОР, 2008. - с. 135..
Применение программы по автоматизации аудита обеспечивает:
· систематизацию методологической работы;
· организацию эффективного планирования аудита;
· повышение качества проведения аудита;
· повышение оперативного и последующего контроля за ходом проведения аудита;
· снижение трудоемкости проведения аудита;
· выполнение стандартов аудиторской деятельности;
· повышение управляемости компании;
· разграничение прав доступа к материалам аудиторских проверок;
· систематизацию и архивирование информации.
Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.
Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:
Проведение комплексного аудита включает три основных этапа:
На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:
Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.
На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.
Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:
По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.
На этом этапе выполняются следующие работы:
Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.
На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры
Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.
Этап завершается передачей заказчику разработанных документов.
Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.
Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.