|
124. Аудит Інформаційних Систем
Аудит Інформаційних Систем (аудит ІС) – це системний процес, відповідно до стандартів та процедур аудиту, отримання і оцінки об’єктивних даних щодо поточного стану інформаційної системи, розгляд подій системи, щоб з'ясувати їх точність та відповідність визначеним критеріям, надання результату аудиту замовнику.
Тривалий час аудит ІС розглядався як окрема самостійна послуга. Крупні і середні аудиторські компанії утворили асоціації - союзи професіоналів в області аудиту ІС, які займаються створенням і супроводженням стандартів аудиторської діяльності у сфері інформаційних технологій. Як правило, це закриті стандарти, "ноу-хау".
Такий підхід не відповідає одному із головних правил аудиту: результати аудиту повинні бути об’єктивними, неупередженими і такими, що можуть бути повторені та відтворені будь-яким аудитом, у тому числі зовнішнім, який використовуватиме таку ж схему аудиту.
Основні функції аудиту ІС:
• аналіз бізнес-процесів, технологій та структури ІС, притаманних їм ризиків;
• відповідність політики управління ризиками установи наявним ризикам;
• дієвість системи моніторингу ризиків та системи контролю ризиків;
• незалежне оцінювання ризиків, об’єктивна, неупереджена перевірка результатів самооцінки ризиків, здійснених бізнес-підрозділами;
• ідентифікація потенційних проблем і ризиків;
• об’єктивний аудит проблемних ситуацій і повноти заходів їх вирішення;
• аналіз звітів моніторингу та контролю з наміром поліпшення існуючої роботи/практики управління ризиками;
• аналіз та надання керівництву організації повного профілю ризиків, висновків щодо стратегії управління ризиками, процедур і методів.
Аудит, заснований на ризиках, враховує наявні та потенційні ризики. Одна із груп найбільш суттєвих ризиків групується під терміном „операційний ризик”, що визначається як: „ризик втрат/збитків, що є результатом неадекватних або невдалих внутрішніх процесів, роботи/дій людей та систем або результатом зовнішніх подій”. До ризиків, які розглядаються аудитом, зокрема відносяться:
- Операційний ризик (ризики безпеки; ризики проектування, реалізації та обслуговування систем; ризики кінцевого користувача тощо);
- Законодавчий ризик (сумнівне чи неоднозначне застосування законів і правил; надання клієнту неадекватної інформації; помилки/відмови в захисті конфіденційності клієнтаідпорядкованість іноземній юрисдикції
- Ризик репутації (суттєві дефекти системи; суттєві порушення безпеки; проблеми з неправильним використанням такої ж чи подібної системи чи продуктів іншими);
- Стратегічний ризик;
- Системний ризик,
Інші.
Незалежна оцінка ризиків аудиторами повинна охоплювати:
• Оцінювання практики організації щодо ідентифікації та оцінювання ризиків; відповідальності за ризик, згідно з його профілем;
• Ефективність усього процесу управління ризиками, а також елементів управління ризиком;
• Системи моніторингу, звітності, включаючи дані про операційні витрати та інші індикатори потенційного операційного ризику;
• Процес контролю, огляд і перевірку безпеки, що гарантують цілісність процесу управління ризиком і звітності контролю;
• Ефективність зусиль щодо мінімізації наслідків у випадках настання подій ризиків, виявлення причин неефективності.
Р. Вебер розглядає аудит власне інформаційних систем (information systems auditing), який ним визначається як процес збирання та оцінювання доказів з метою визначення, чи комп’ютерна система зберігає цілісність даних, забезпечує ефективне виконання цілей організації та ефективне використання її ресурсів. Такий підхід він пояснює тим, що з переходом від ручних до комп’ютерних інформаційних систем внутрішні засоби контролю, на які в основному спирається у своїй роботі аудитор, стають більш комплексними, а тому процес їх оцінювання — більш складним. Тестування комп’ютерних систем клієнта він розглядає як дуже важливий і необхідний процес при проведенні аудиту фінансової звітності. Цю думку поділяють Б. Дженкінс і П. Кук , які зазначають, що аудиторський підхід до комп’ютерів (audit approach to computers) полягає у визначенні аудиторської стратегії; розумінні та описанні системи; оцінюванні вбудованих засобів контролю; тестуванні засобів контролю та виявленні слабких місць; детальному тестуванні.
В умовах функціонування автоматизованих інформаційних систем зазнають певних змін основні принципи аудиту. Відповідно застосування КІСП може вплинути на:
- процедури, яких дотримується аудитор у процесі одержання достатнього уявлення про системи бухгалтерського обліку і внутрішнього контролю;
- аналіз властивого ризику і ризику системи контролю, за допомогою чого аудитор проводить оцінку ризику;
- розробку і здійснення аудитором тестів системи контролю і процедур перевірки по суті, необхідних для досягнення цілей аудиту.
Зазначимо, що на відміну від ручних облікових систем, де записи здійснюються на папері й аудитор роз¬глядає можливість знищення, підробки, заміни паперових документів, в умовах використання КІСП аудитору доводиться мати справу з питаннями безпеки та надійності комп’ютерних облікових систем. Таким чином, аудитор перевіряє низку суто технічних питань, які не мають прямого відношення до бухгалтерського обліку, але безпосередньо впливають на оцінку аудитором ризику системи контролю. Зокрема, подібні заходи були передбачені в Положенні про міжнародну аудиторську практику 1008 „Оцінювання ризиків та внутрішній контроль: характеристики та особливості в КІС”.
Для перевірок ефективності й безпечності інформаційної системи як такої здійснюють комп’ютерний аудит інформаційної системи. Під ним мається на увазі оцінка поточного стану комп’ютерної системи на відповідність дпевному стандарту або запропонованим вимогам. Цей термін використовується насамперед спеціалістами з загальної безпеки комп'ютерних інформаційних систем і у вузькому значенні не стосується аудиту фінансової звіт¬ності. Такий аудит не спрямований на пропонування конкретного рішення, він дає можливість поглянути на інформаційну систему комплексно, виявити проблемні місця, сформувати обґрунтовані рекомендації для ухвалення рішення про усунення недоліків, включає декілька напрямів:
- аудит технічного стану інформаційної системи;
- aудит ефективності інформаційної системи;
- аудит інформаційної безпеки;
- oціночний аудит інформаційних систем;
- oціночний аудит програмного забезпечення;
- аудит проектів впровадження і реінжинірингу.
Додатково аудит ІС дозволяє вирішити такі питання:
– Встановлення процедури ухвалення рішення про необхідність організації в ІС (наявність стратегічного плану розвитку організації, місце і роль ІС в цьому плані, прогнозування проблемних ситуацій);
– Чи відповідає ІС цілям і задачам бізнесу? Як оптимізувати інвестиції в ІС?
– Що відбувається усередині цього "чорного ящика" - ІС організації?
– Збої в роботі ІС, як виявити і локалізувати проблеми, зменшити збитки?
– Як розв'язуються питання інформаційної безпеки? Чи достатні заходи безпеки?
– Як оцінити роботу підрядних організацій в галузі ІС? Чи є недоліки?
– Чи необхідно провести модернізацію устаткування і програмного забезпечення?
– Чому весь час провадиться закупівля додаткового устаткування та/або програмного забезпечення?
– Співробітники інформаційних технологій постійно чому-небудь вчаться, чи є в цьому необхідність, на що саме слід звернути увагу ?
– Що робити у разі виникнення позаштатної ситуації? Які можливі збитки?
– Які виникають ризики щодо конфіденційної інформації в ІС організації? Як їх мінімізувати?
– Як оптимально використовувати ІС для розвитку бізнесу?
Зазначені питання повинні розглядатися у взаємозв’язку з ризиками.
|
Вход
Регистрация
FAQ
Поиск
