Аудит безопасности информационных систем. Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии

23.11.2023 | Устройство ПК

Аудит информационных систем дает актуальные и точные данные о том, как работает ИС. На базе полученных данных можно планировать мероприятия для повышения эффективности предприятия. Практика проведения аудита информационной системы - в сравнении эталона, реальной обстановки. Изучают нормативы, стандарты, регламенты и практики, применимые в других фирмах. При проведении аудита предприниматель получает представление о том, как его фирма отличается от нормальной успешной компании в аналогичной сфере.

Общее представление

Информационные технологии в современном мире развиты исключительно сильно. Сложно представить себе предприятие, не имеющее на вооружении информационные системы:

глобальные;
локальные.

Именно за счет ИС компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании подстраиваться под изменения инфраструктуры и требований рынка. Информационные системы должны удовлетворять ряду требований, меняющихся по прошествии времени (внедряются новые разработки, стандарты, применяют обновленные алгоритмы). В любом случае информационные технологии позволяют сделать доступ к ресурсам быстрым, и эта задача решается через ИС. Кроме того, современные системы:

масштабируемые;
гибкие;
надёжные;
безопасные.

Основные задачи аудита информационных систем - выявление, соответствует ли внедренная ИС указанным параметрам.

Аудит: виды

Очень часто применяется так называемый процессный аудит информационной системы. Пример: внешние специалисты анализируют внедренные системы на предмет отличия от эталонов, изучая в том числе и производственный процесс, на выходе которого - программное обеспечение.

Может проводиться аудит, направленный на выявление того, насколько правильно применяется в работе информационная система. Практику предприятия сравнивают со стандартами производителя и известными примерами корпораций международного масштаба.

Аудит системы информационной безопасности предприятия затрагивает организационную структуру. Цель такого мероприятия - найти тонкие места в кадрах ИТ-отдела и обозначить проблемы, а также сформировать рекомендации по их решению.

Наконец, аудит системы обеспечения информационной безопасности направлен на качественный контроль. Тогда приглашенные эксперты оценивают, в каком состоянии процессы внутри предприятия, тестируют внедренную информационную систему и делают некоторые выводы по полученной информации. Обычно применяется модель TMMI.

Задачи аудита

Стратегический аудит состояния информационных систем позволяет определить слабые места во внедренной ИС и выявить, где применение технологий оказалось неэффективными. На выходе такого процесса у заказчика будут рекомендации, позволяющие устранить недочеты.

Аудит позволяет оценить, как дорого обойдётся внесение изменений в действующую структуру и сколько времени это займет. Специалисты, изучающие действующую информационную структуру компании, помогут подобрать инструментарий для реализации программы улучшений, учитывая особенности компании. По итогам можно также выдать точную оценку, в каком объеме ресурсов нуждается фирма. Проанализированы будут интеллектуальные, денежные, производственные.

Мероприятия

Внутренний аудит информационных систем включает в себя проведение таких мероприятий, как:

инвентаризация ИТ;
выявление нагрузки на информационные структуры;
оценка статистики, данных, полученных при инвентаризации;
определение, соответствуют ли требования бизнеса и возможности внедренной ИС;
формирование отчета;
разработка рекомендаций;
формализация фонда НСИ.

Результат аудита

Стратегический аудит состояния информационных систем - это процедура, которая: позволяет выявить причины недостаточной эффективности внедрённой информационной системы; провести прогнозирование поведения ИС при корректировке информационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии. А также разработать мероприятия, улучшающий качественный уровень сервиса информационных систем.

Это важно!

Нет такой универсальной ИС, которая подошла бы любому предприятию. Есть две распространенных базы, на основе которых можно создавать уникальную систему под требования конкретного предприятия:

Oracle.

Но помните, что это лишь основа, не более. Все усовершенствования, позволяющие сделать бизнес эффективным, нужно программировать, учитывая особенности конкретного предприятия. Наверняка придется вводить ранее отсутствовавшие функции и отключать те, которые предусмотрены базовой сборкой. Современная технология аудита банковских информационных систем помогает понять, какие именно особенности должна иметь ИС, а что нужно исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».

Аудит информационной безопасности

Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:

внешний;
внутренний.

Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.

Внутренний - это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит - несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.

Цели

Главная цель аудита информационных систем в аспекте безопасности - это выявление касающихся ИС рисков, сопряженных с угрозами безопасности. Кроме того, мероприятия помогают выявить:

слабые места действующей системы;
соответствие системы стандартам информационной безопасности;
уровень защищенности на текущий момент времени.

При аудите безопасности в результате будут сформулированы рекомендации, позволяющие улучшить текущие решения и внедрить новые, сделав тем самым действующую ИС безопаснее и защищённые от различных угроз.

Если проводится внутренний аудит, призванный определить угрозы информационной безопасности, тогда дополнительно рассматривается:

политика безопасности, возможность разработки новой, а также иных документов, позволяющих защитить данные и упростить их применение в производственном процессе корпорации;
формирование задач обеспечения безопасности работникам ИТ-отдела;
разбор ситуаций, сопряженных с нарушениями;
обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.

Внутренний аудит: особенности

Перечисленные задачи, которые ставят перед сотрудниками, когда проводится внутренний аудит информационных систем, по своей сути, не аудит. Теоретически проводящий мероприятия лишь в качестве эксперта оценивает механизмы, благодаря которым система обезопасена. Привлеченное к задаче лицо становится активным участником процесса и теряет независимость, уже не может объективно оценивать ситуацию и контролировать ее.

С другой стороны, на практике при внутреннем аудите остаться в стороне практически невозможно. Дело в том, что для проведения работ привлекают специалиста компании, в прочее время занятого другими задачами в сходной области. Это значит, что аудитор - это тот самый сотрудник, который обладает компетенцией для решения упомянутых ранее заданий. Поэтому приходится идти на компромисс: в ущерб объективности привлекать работника к практике, чтобы получить достойный итог.

Аудит безопасности: этапы

Таковые во многом сходны с шагами общего ИТ-аудита. Выделяют:

старт мероприятий;
сбор базы для анализирования;
анализ;
формирование выводов;
отчетность.

Инициирование процедуры

Аудит информационных систем в аспекте безопасности начинается, когда на это дает отмашку руководитель компании, так как именно начальники - те персоны, которые более прочих заинтересованы в эффективной проверке предприятия. Проведение аудита невозможно, если руководство не поддерживает процедуру.

Аудит информационных систем обычно комплексный. В нем принимает участие аудитор и несколько лиц, представляющих разные отделы компании. Важна совместная работа всех участников проверки. При инициации аудита важно уделить внимание следующим моментам:

документальная фиксация обязанностей, прав аудитора;
подготовка, согласование плана аудита;
документальное закрепление того факта, что сотрудники обязаны оказывать аудитору посильную помощь и предоставлять все запрашиваемые им данные.

Уже в момент инициации проверки важно установить, в каких границах проводится аудит информационных систем. В то время как некоторые подсистемы ИС критичны и требуют особенного внимания, другие таковыми не являются и достаточно маловажны, поэтому допускается их исключение. Наверняка найдутся и такие подсистемы, проверка которых будет невозможна, так как вся информация, хранимая там, конфиденциальна.

План и границы

Перед началом работ формируется список ресурсов, которые предполагается проверить. Это могут быть:

информационные;
программные;
технические.

Выделяют, на каких площадках проводят аудит, на какие угрозы проверяют систему. Существуют организационные границы мероприятия, аспекты обеспечения безопасности, обязательные к учету при проверке. Формируется рейтинг приоритетности с указанием объема проверки. Такие границы, а также план мероприятия утверждаются генеральным директором, но предварительно выносятся темой общего рабочего собрания, где присутствуют начальники отделов, аудитор и руководители компании.

Получение данных

При проведении проверки безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается наиболее продолжительным, трудоемким. Как правило, ИС не имеет документации к ней, а аудитор вынужден плотно работать с многочисленными коллегами.

Чтобы сделанные выводы оказались компетентными, аудитор должен получить максимум данных. О том, как организована информационная система, как она функционирует и в каком состоянии находится, аудитор узнает из организационной, распорядительной, технической документации, в ходе самостоятельного исследования и применения специализированного ПО.

Документы, необходимые в работе аудитора:

организационная структура отделов, обслуживающих ИС;
организационная структура всех пользователей.

Аудитор интервьюирует работников, выявляя:

провайдера;
владельца данных;
пользователя данных.

Для этого нужно знать:

основные виды приложений ИС;
число, виды пользователей;
услуги, предоставляемые пользователям.

Если в фирме есть документы на ИС из перечисленного ниже списка, обязательно нужно предоставить их аудитору:

описание технических методологий;
описание методик автоматизации функций;
функциональные схемы;
рабочие, проектные документы.

Выявление структуры ИС

Для корректных выводов аудитор должен располагать максимально полным представлением об особенностях внедренной на предприятии информационной системы. Нужно знать, каковы механизмы безопасности, как они распределены в системе по уровням. Для этого выясняют:

наличие и особенности компонентов используемой системы;
функции компонентов;
графичность;
входы;
взаимодействие с различными объектами (внешнее, внутреннее) и протоколы, каналы для этого;
платформы, примененные для системы.

Пользу принесут схемы:

структурная;
потоков данных.

Структуры:

технических средств;
информационного обеспечения;
структурных компонентов.

На практике многие из документов готовят непосредственно при проведении проверки. Анализировать информацию можно лишь при сборе максимального объема информации.

Аудит безопасности ИС: анализ

Есть несколько методик, применяемых для анализа полученных данных. Выбор в пользу конкретной основывается на личных предпочтениях аудитора и специфике конкретной задачи.

Наиболее сложный подход предполагает анализировать риски. Для информационной системы формируются требования к безопасности. Они базируются на особенностях конкретной системы и среды ее работы, а также угроз, свойственных этой среде. Аналитики сходятся во мнении, что такой подход требует наибольших трудозатрат и максимальной квалификации аудитора. Насколько хорош будет результат, определяется методологией анализа информации и применимостью выбранных вариантов к типу ИС.

Более практичный вариант предполагает обращение к стандартам безопасности для данных. Таковыми определяется набор требований. Это подходит для различных ИС, так как методика выработана на основе крупнейших фирм из разных стран.

Из стандартов следует, каковы требования безопасности, зависящие от уровня защиты системы и принадлежности ее тому или иному учреждению. Многое зависит от предназначения ИС. Главная задача аудитора - определить корректно, какой набор требований по безопасности актуален в заданном случае. Выбирают методику, по которой оценивают, соответствуют ли стандартам имеющиеся параметры системы. Технология довольно простая, надежная, поэтому распространена широко. При небольших вложениях в результате можно получить точные выводы.

Пренебрегать недопустимо!

Практика показывает, что многие руководители, особенно небольших фирм, а также те, чьи компании работают уже достаточно давно и не стремятся осваивать все новейшие технологии, относятся к аудиту информационных систем довольно халатно, так как просто не осознают важности этой меры. Обычно лишь ущерб бизнесу провоцирует начальство принимать меры по проверке, выявлению рисков и защите предприятия. Иные сталкиваются с тем, что у них крадут данные о клиентуре, у других утечки происходят из баз данных контрагентов или уходит информация о ключевых преимуществах некоего субъекта. Потребители перестают доверять компании, как только случай подвергается огласке, и компания терпит еще больший урон, нежели просто от потери данных.

Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. У любой компании есть данные, представляющие ценность для третьих лиц, и их нужно беречь. Чтобы защита была на высочайшем уровне, необходим аудит, выявляющий слабые стороны. В нем нужно учитывать международные стандарты, методики, новейшие наработки.

При аудите:

оценивают уровень защиты;
анализируют применяемые технологии;
корректируют документы по безопасности;
моделируют рисковые ситуации, при которых возможна утечка данных;
рекомендуют внедрение решений для устранения уязвимостей.

Проводят эти мероприятия одним из трех образов:

активный;
экспертный;
выявляющий соответствие стандартам.

Формы аудита

Активный аудит предполагает оценку системы, на которую смотрит потенциальный хакер. Именно его точку зрения «примеряют» на себя аудиторы - изучают сетевую защиту, для чего применяют специализированное ПО и уникальные методики. Обязателен и внутренний аудит, проводимый также с точки зрения предполагаемого преступника, желающего украсть данные или нарушить работу системы.

При экспертном аудите проверяют, насколько соответствует внедренная система идеальной. При выявлении соответствия стандартам за основу берут абстрактное описание стандартов, с которыми сравнивают имеющийся объект.

Заключение

Корректно и качественно проведенный аудит позволяет получить следующие итоги:

минимизация вероятности успешной хакерской атаки, ущерба от нее;
исключение атаки, основанной на изменении архитектуры системы и информационных потоков;
страхование как средство уменьшения рисков;
минимизация риска до уровня, когда таковой вовсе можно не учитывать.

Глава 5. ИНФОРМАЦИОННЫЕ СИСТЕМЫ АУДИТА

5.1. ПРЕДПОСЫЛКИ СОЗДАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Использование персональных компьютеров и современных информационных технологий в аудиторской деятельности регулируется стандартами аудита.

В российских правилах (стандартах) эти проблемы нашли отражение в трех стандартах: «Аудит в условиях компьютерной обработки данных», «Проведение аудита с помощью компьютеров», «Оценка риска и внутренний контроль; характеристика и учет среды компьютерной и информационной систем». В принятых в настоящее время федеральных правилах (стандартах) аудиторской деятельности аналогичных стандартов нет, поэтому основные положения российских стандартов не потеряли своей актуальности. Поскольку применение компьютеров в аудите - объективно существующая реальность, в федеральных стандартах также в том или ином контексте упоминаются и компьютерные информационные системы бухгалтерского учета, и методы аудита с помощью компьютеров.

Из приведенного списка российских стандартов видно, что для российских аудиторов разработаны наиболее существенные из стандартов, имеющих отношение к компьютеризации аудита. Созданные российские правила (стандарты) ориентированы на прогрессивные компьютерные информационные системы, они учитывают специфику российского бухгалтерского учета и аудита. Эти стандарты до сих пор дополняют такие федеральные стандарты, как «Планирование», «Внутренний контроль качества аудита», «Оценка рисков и внутренний контроль, осуществляемый аудируемым лицом», «Аудиторская выборка».

И российские, и федеральные стандарты ориентированы на более эффективное достижение цели аудита и описание особенностей реализации основных принципов и методов аудита в современных условиях.

Использование компьютеров и информационных технологий характерно как для аудируемых лиц, так и для аудиторских организаций и индивидуальных аудиторов.

Общие положения о компонентах компьютерного аудита, основных понятиях и подходах к его организации на аудиторских фирмах и у индивидуальных аудиторов можно получить на основании первого и второго правила (стандарта) из перечисленных российских стандартов. Эти два стандарта тесно взаимосвязаны, хотя первый имеет бoльшее отношение к аудируемым лицам, а второй - непосредственно к аудиторам и аудиторским организациям.

В практических условиях могут возникнуть следующие варианты проведения компьютерного аудита (табл. 5.1).

Таблица 5.1

Наличие компьютеров при проведении аудита

Наиболее благоприятен и предпочтителен 3-й вариант. В этом случае компьютеры использует и экономический субъект для автоматизации управленческих работ, и аудитор - в процессе аудита.

Однако само по себе наличие персональных компьютеров в бухгалтерии аудируемого лица еще не является достаточным компонентом системы компьютерной обработки данных. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В первом стандарте для этого введено понятие «компьютерная обработка данных» (КОД).

Что касается аудиторской организации, то здесь компьютеры могут использоваться не только для автоматизации управленческих работ аудиторской организации, но и для проведения аудита у экономических субъектов. При этом понятие «использование компьютеров для проведения аудита» весьма общее и может включать следующие направления использования (табл. 5.2).

Таблица 5.2

Варианты использования ПК в аудиторской деятельности

	Виды выполняемых работ с использованием компьютера
	Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.
	Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)
	Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.
	Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала
	Выполнение услуг, сопутствующих аудиту

Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.

Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)

Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.

Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала

Выполнение услуг, сопутствующих аудиту

5.2. АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Аудиторская деятельность представляет собой информационную систему, так как включает три ее основных компонента:

Информацию как предмет и продукт труда;

Средства, методы и способы переработки информации;

Персонал, который реализует информационный процесс.

В настоящее время на рынке пакетов прикладных программ уже появились пакеты, позволяющие использовать компьютеры в работе аудиторов. Это связано с тем, что сложились определенные предпосылки разработки комплексной системы автоматизации аудиторской деятельности (СААД):

Высокий уровень развития средств вычислительной техники, средств коммуникации и информационных технологий. Применение персональных компьютеров и информационных технологий позволяет не только выполнять рутинные операции по формированию аудиторской документации, поиску и использованию положений законодательных и нормативных актов, но и решать более сложные задачи, связанные с анализом системы внутреннего контроля, расчетами экономических показателей, реализацией различных запросов к базе данных, создаваемой в системе автоматизации бухгалтерского учета, выработать рекомендации по стратегии улучшения финансово-хозяйственной деятельности;

Автоматизация бухгалтерского учета. В процессе работы автоматизированной системы бухгалтерского учета (АСБУ) формируется информация о хозяйственной деятельности экономического субъекта в форме электронной базы данных, анализ которой возможен с применением компьютера;

Математические методы экономического анализа. Существующий математический аппарат анализа финансово-хозяйственного состояния экономического субъекта позволяет разработать и реализовать автоматизированные системы анализа;

Высокоразвитые информационно-справочные системы. Компьютер позволяет получить любые необходимые справки в области законодательства, нормативных актов и использовать их содержание при обосновании аудиторских выводов и формировании аудиторской документации;

Удобные системы для работы с различными редактируемыми текстами. Применение этих систем помогает ауди- тору в формировании документации с использованием информации, получаемой одновременно из разных баз данных.

Задачи аудиторской деятельности отражаются в функциональной структуре СААД, а ее работа, выполнение предусмотренных задач связаны с наличием информационного, технического, математического, программного, технологического, организационного, правового и эргономического обеспе- чения.

Основу для разработки любой информационной системы составляет ее функциональная структура, которая представляет собой декомпозицию целей системы до уровня решаемых задач. Функциональная структура СААД отражает два основных направления аудиторской деятельности: собственно аудит и услуги, сопутствующие аудиту.

Собственно аудит состоит из последовательного выполнения комплексов работ, осуществляемых в несколько этапов:

Ознакомление с особенностями экономического субъекта;

Анализ организации бухгалтерского учета и системы внутреннего контроля;

Оценка достоверности базы данных и возможного аудиторского риска при использовании этой базы для формирования аудиторского заключения;

Планирование аудита и разработка аудиторских процедур;

Выполнение аудиторских процедур;

Формирование отчета и аудиторского заключения.

Каждый этап должен отражаться в формируемой аудиторской документации и соответствовать положениям федеральных и внутренних правил (стандартов) аудиторской деятельности.

Практически на всех этапах аудитор может использовать возможности компьютера, но не на каждом из них можно полностью автоматизировать сложную работу аудитора, опирающегося не только на строгие логические построения и расчеты, но и на накопленный опыт и интуицию, играющие далеко не последнюю роль в его деятельности.

Сопутствующие аудиту услуги включают самые разные виды работ, многие из которых можно эффективно выполнять с использованием средств вычислительной техники. К ним относятся: проведение анализа деятельности администрации, финансового состояния экономического субъекта, консультационные и прочие услуги (ведение учета экономического субъекта, восстановление учета, автоматизация учета и др.).

5.3. ПРИМЕНЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПРИ ПРОВЕДЕНИИ АУДИТОРСКОЙ ПРОВЕРКИ

Рассмотрим содержание основных этапов проведения аудиторской проверки и возможности применения компьютеров в процессе проверки.

I этап - ознакомление с особенностями экономического субъекта. В соответствии с федеральным правилом (стандартом) № 15 «Понимание деятельности аудируемого лица» может быть выполнено только путем просмотра документов, описывающих основные виды деятельности, организационную и производственную структуру, регистрационных и лицензионных документов. Если такая информация содержится в базе данных АСБУ в доступной аудитору электронной форме, то последний может переносить в формируемый отчет фрагменты документации в режиме редактирования.

II этап - анализ особенностей бухгалтерского учета. Осуществляется в соответствии с федеральными правилами (стандартами) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом», № 19 «Особенности первой проверки аудируемого лица». Объектами анализа являются: внешние и внутренние условия работы бухгалтерии, организация учета, утвержденная учетная политика, рабочий план счетов, состав учитываемых хозяйственных операций и их отражение в виде проводок, состав бухгалтерских регистров, отражающих количественно-суммовой, аналитический и синтетический учет.

Анализ внешних и внутренних условий работы бухгалтерии проводится обычно в форме теста. Формирование рабочей таблицы, обработку результатов опроса можно выполнить с использованием компьютера.

Анализ учетной политики (УП) можно провести, сопоставляя ее разделы с некоторой нормативной формой учетной политики (НУП), охватывающей все аспекты бухгалтерского учета с описанием всех допустимых альтернативных вариантов учета и содержащей ссылки на соответствующие нормативные документы. Каждый пункт НУП аудитор оценивает с точки зрения наличия в УП (отражен/не отражен), а каждый пункт УП - с точки зрения допустимости выбранного варианта учета (допустимый вариант/недопустимый вариант). Таким образом формируется фрагмент аудиторского отчета.

Для реализации данной технологии анализа УП в базу данных СААД должен входить справочник «Нормативная учетная политика» (например, в форме таблицы), содержащий разделы: участок учета, объект учета, допустимые альтернативы учета, нормативные документы.

Технически анализ упрощается, если УП экономического субъекта предоставляется аудитору в электронном виде.

В этом случае работа сводится к сравнению данных таблиц, представленных в двух окнах - УП и НУП.

Результаты анализа могут быть представлены в виде табл. 5.3.

Таблица 5.3

Анализ учетной политики экономического субъекта

Участок учета	Объект учета	Утвержденный вариант УП	Нормативный документ	Комментарий

Учет основных средств	Начисление амортизации	Линейный способ	Положение по ведению бухгалтерского учета и составлению бухгалтерской отчетности, п. 48 ПБУ 6/01, п. 18
Учет основных средств	Формирование остаточной стоимости при выбытии		План счетов и инструкция по его применению

Графы 1, 2 и 4 заполняются из НУП, а графа 3 - из УП. При отсутствии такого раздела в УП в графу 5 рабочей таблицы заносится комментарий «нужен»/«не нужен».

Составленная таким образом рабочая таблица представляет аудиторское обоснование вывода о качестве УП экономического субъекта.

Анализ рабочего плана счетов и системы аналитического учета сводится к просмотру на экране или распечатанного рабочего плана счетов (РПС).

Организацию аналитического учета по каждому синтетическому счету, реализованную в АСБУ, можно выяснить, познакомившись с содержанием бухгалтерских регистров по счетам.

Для анализа правомерности применения синтетического или аналитического счета с целью учета хозяйственных операций в базе СААД необходим файл, содержащий нормативный план счетов (НПС) со следующей структурой: синтетический счет, субсчет, аналитические счета, объект учета.

Анализ состава учитываемых хозяйственных операций и анализ их отражения в журнале бухгалтерских проводок (ЖБП) существенно упрощаются, если аудитор имеет ЖБП в виде файла-списка, каждая запись которого отражает следующие данные о проводке: счет (субсчет) дебетуемый, счет (субсчет) кредитуемый, сумма, дата, комментарий, документ-основание, хозяйственная операция.

Опыт показывает, что такой файл обязательно присутствует в АСБУ любой конфигурации и согласно положениям правила (стандарта) «Аудит в условиях компьютерной обработки данных» может быть использован аудитором в своей работе.

На этапе знакомства с особенностями системы бухгалтерского учета экономического субъекта, имея ЖБП (его электронную копию), аудитор может получить состав применяемых бухгалтерских проводок с количественной и суммовой оценкой каждой используемой корреспонденции.

В результате обработки данных ЖБП может быть получена рабочая таблица (табл. 5.4) применяемых бухгалтерских записей (проводок).

Таблица 5.4

Анализ состава бухгалтерских записей (проводок)

Счет (субсчет) дебетуемый	Счет (субсчет) кредитуемый	Количество записей	Сумма по корреспон- денции	Приме- чание


				Некорректно

В графу 3 по каждой корреспонденции, определяемой графами 1, 2, заносится количество записей ЖБП, содержащих корреспонденцию, а в графу 4 - накопленная сумма по всем этим записям.

Итог графы 3 характеризует объем проверяемого массива, а ее строки - количество однотипных учитываемых операций. Строки графы 4 дают представление о значимости отдельных корреспонденций для оценки как достоверности проверяемой информации, так и результатов хозяйственной деятельности экономического субъекта за проверяемый период.

Содержание данной таблицы позволяет аудитору выявить некорректные с точки зрения НПС корреспонденции. Для автоматического выявления некорректных проводок в базе данных СААД обязательно должен быть файл-список типовых бухгалтерских проводок, запись которого отражает следующие данные: счет дебетуемый, счет кредитуемый, хозяйственная операция, документ-основание, учитываемая сумма.

На основании данных ЖБП и данных файла типовых бухгалтерских проводок автоматически в графе 5 делается отметка о некорректности проводки, если такая корреспонденция отсутствует в файле типовых бухгалтерских проводок.

Анализ на корректность бухгалтерских проводок можно проводить как по всем, так и по отдельным счетам бухгалтерского учета.

Анализ регистров бухгалтерского учета аудитор начинает с просмотра состава предлагаемых АСБУ бухгалтерских регистров. Регистры аналитического и синтетического учета имеют форму, общую для всех используемых счетов.

Регистры количественно-суммового учета каждого отдельного участка имеют свою специфику и, как правило, содержат исчерпывающую информацию о каждом отдельном объекте учета.

Для последующих этапов, в частности планирования аудита и определения уровня существенности, очень важна информация, содержащаяся в обобщающем регистре, - оборотно-сальдовом балансе (ОСБ) за проверяемый период. Имея файл ОСБ, аудитор может получить рабочую аналитическую таблицу с оценкой удельного веса сальдо и оборотов по счетам (субсчетам) бухгалтерского учета.

По данным такой таблицы аудитор может выделить счета (субсчета) с наибольшими (превышающими заданный порог) значениями или сальдо, или оборотов, или удельного веса (процент итога по графе), имеющих существенное значение при расчете финансовых результатов деятельности экономического субъекта. Критерии отбора, выделения счетов (субсчетов) для углубленной проверки разрабатываются каждой аудиторской фирмой или аудитором и являются их ноу-хау.

III этап - анализ системы внутреннего контроля (СВК). Также проводится аудитором в соответствии с федеральным правилом (стандартом) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» для определения допустимого аудиторского риска. Допустимый аудиторский риск зависит от результатов оценки неотъемлемого риска системы бухгалтерского учета и риска СВК экономического субъекта.

На этапе планирования аудиторской проверки оценку надежности системы бухгалтерского учета и системы внутреннего контроля выполняют с использованием тестов. Компьютер может быть использован как для формирования таблицы с вопросами, так и для обработки заполненной таблицы.

При выполнении аудиторских процедур по существу аудитор постоянно уточняет предварительную оценку. Аудитор анализирует СВК по следующим направлениям: деятельность персонала по обработке первичной документации и формированию журнала бухгалтерских проводок; формирование регистров бухгалтерского учета; использование и приведение в соответствие данных участков учета в сводном учете; формирование финансовых результатов и расчет оценочных показателей и налогов; формирование бухгалтерской отчетности.

Оценка контроля за деятельностью персонала по обработке первичной документации и формированию журнала бухгалтерских проводок - наиболее ответственная и трудоемкая часть знакомства с системой бухгалтерского учета. Журнал бухгалтерских проводок содержит информацию обо всех хозяйственных операциях, включая формирование финансовых результатов, начисление и перечисление сумм налогов. Только после того, как аудитор получит достаточные основания считать достоверной информацию ЖБП в части отражения всех хозяйственных операций, т.е. даст высокую оценку СВК с данной точки зрения, он приступает к проверке расчета финансовых результатов, начисляемых сумм налогов и правильности заполнения отчетных форм. Если СВК не удовлетворит аудитора, то процесс анализа содержания ЖБП существенно усложнится и потребуется работа большого объема с первичными документами.

Журнал бухгалтерских проводок является результатом работы бухгалтеров разных участков учета. В зависимости от конфигурации АСБУ эти участки могут представлять собой отдельных бухгалтеров, каждый со своей базой данных (своими классификаторами, рабочими массивами для ведения количественно-суммового учета, своим ЖБП) или АРМ бухгалтеров, объединенных в сеть и работающих в одной базе данных с едиными

классификаторами, рабочими массивами и ЖБП. Возможны также комбинации этих вариантов. Конфигурация АСБУ определяет объекты анализа СВК за формированием ЖБП, на основании которого формируется проверяемая бухгалтерская отчетность. Если АСБУ состоит из изолированных АРМ, особым объектом контроля становится процесс переноса данных с участков учета в сводный файл ЖБП. Если АСБУ представляет собой единую информационную систему, необходимость в таком контроле отпадает, но появляется необходимость исключения несанкционированного доступа к информации, содержащейся в единой базе данных.

В любом случае анализ деятельности персонала по обработке первичных документов и формированию ЖБП удобно проводить по отдельным участкам учета, каждый из которых характеризуют следующие элементы:

1) состав обрабатываемых первичных документов;

2) структура рабочей базы данных, отражающая специфику объектов учета;

3) состав учитываемых хозяйственных операций;

4) состав синтетических и аналитических бухгалтерских счетов;

5) преобразование хозяйственных операций в бухгалтерские проводки;

6) формы регистров, отражающих количественно-суммовой учет;

7) регистры, отражающие аналитический и синтетический учет.

Состав обрабатываемых первичных документов может быть проанализирован, если в ЖБП есть раздел «документ-основание» или инструкция бухгалтеру содержит перечень и описание таких документов.

Если база данных АСБУ и инструкции не содержат информации об обрабатываемых первичных документах, аудитор вынужден использовать подшивки первичных документов, проводить опрос исполнителей о технологии работы с ними.

Для оценки полноты и форм обрабатываемых первичных документов-оснований аудитор использует имеющийся в базе СААД файл типовых бухгалтерских проводок, уже примененный аудитором при проверке их корректности.

Чем подробнее элементы 1–4 и методика преобразова- ния 5 изложены в инструкции бухгалтеру, работающему на данном участке учета, тем выше оценка СВК и ниже ее риск. Чем выше квалификация бухгалтера, тем выше оценка качества системы бухгалтерского учета, тем ниже ее неотъемлемый риск и риск СВК.

В современных АСБУ преобразование 5 выполняется во многих случаях в автоматическом режиме при вводе данных с документа-основания, подтверждающего проведение хозяйственной операции. При этом оно может сопровождаться следующими ошибками: неправильное оформление документа, неверная корреспонденция счетов, искажение фактических данных (суммы, даты, наименования и т.д.).

Вероятность той или иной ошибки зависит от особенностей обрабатываемого первичного документа, методики формирования корреспонденции счетов и организации контроля ввода исходных данных.

Ошибки первого типа - в оформлении документов могут возникнуть, если первичный документ формируется и остается в самой бухгалтерии, так как в этом случае функции исполнения и контроля совмещены.

Часто документы-основания формируются в других подразделениях экономического субъекта в электронном виде, и этого достаточно для появления соответствующих проводок в ЖБП. Окончательная печать и оформление таких документов необходимыми подписями может откладываться на неопределенный срок, что также увеличивает вероятность появления ошибки в оформлении документа.

Если первичные документы поступают в бухгалтерию извне (от другой организации), вероятность неправильного оформления таких документов практически равна нулю.

Для оценки системы внутреннего контроля за оформлением первичных документов-оснований аудитор проводит выборочную проверку множества этих документов. Для этого он, во-первых, определяет круг документов с наибольшей вероятностью недооформления (например, документы, формируемые и остающиеся в бухгалтерии), во-вторых, строит репрезентативную выборку.

Как правило, одновременно с проверкой качества оформления первичных документов аудитор оценивает и вероятность появления ошибок второго типа - ошибок формирования бухгалтерских проводок.

Сегодня многих руководителей не устраивает тот уровень автоматизации, который сложился на предприятии. Физически и морально устаревшие информационные системы (ИС), "лоскутная" автоматизация отдельных процессов уже не в состоянии обеспечить руководящий состав оперативной и достоверной информацией, столь необходимой для принятия обоснованных и своевременных управленческих решений.

Несовершенство системы управления приводит к снижению доходности работы предприятия, неустойчивому положению на рынке товаров и услуг.

Возвращение к проблемам комплексной автоматизации предприятий вызвано заинтересованностью руководства предприятий в создании эффективной структуры управления, а в этом деле важную роль играет информационное обеспечение. Поэтому вновь на повестке дня встал вопрос о создании корпоративных информационных систем.

Но даже при успешных внедрениях руководство предприятий не всегда получает нужный эффект. Успех проекта автоматизации не означает автоматического получения существенной пользы от него. Даже если цели проекта достигнуты, они могут не соответствовать текущим требованиям производства. Такое встречается очень часто.

Проваленные проекты автоматизации, колоссальные потери времени и средств - эту картину можно наблюдать на крупных предприятиях. Почему такое происходит? Почему не спасают ни высокие технологии, ни продукты, ни авторитет известных фирм? Почему провалы есть и у готовых пакетов, и у заказных информационных систем? Почему предприятия не могут освободиться от "лоскутной" автоматизации?

Практика создания систем по модели "как есть" показала, что автоматизация без модернизации существующей системы управления не приносит желаемых результатов. Ведь использование в работе программных приложений - это не просто сокращение бумажных документов и рутинных операций, но и переход на новые формы ведения документооборота, учёта и отчётности.

Не оправдывает себя и "лоскутная" автоматизация отдельных рабочих мест рядовых исполнителей. Руководитель в результате всё равно получает данные, подготовленные вручную.

Существует иллюзия, что автоматизировать предприятие можно "малой кровью", используя собственных сотрудников, которые и так получают зарплату.

АВТОМАТИЗАЦИЯ предприятия - это создание некоторого вспомогательного производства, которое упрощает принятие решений руководством предприятия.

Практика показывает, что в сфере автоматизации, как и в сфере аудита, привлечение специалистов со стороны экономически оправдано и более эффективно.

Разрабатывающий систему сотрудник надолго оторван от своих прямых обязанностей по эксплуатации уже функционирующих программ, проект может провалиться из-за ухода ведущих специалистов. Разработка информационной системы силами самого предприятия может затянуться на годы, не принося реальной пользы высшему руководству.

Рассматривая проблему эффективности информационных систем с позиций системного анализа, можно выделить основные критерии оценки эффективности:

Выбор ресурсов. При выборе информационной системы необходимо исходить из того, что использование любого ресурса целесообразно только тогда, когда оно даёт положительный эффект.
Динамика. Следует учитывать фактор времени, важно выбрать те технологии, которые будут использоваться продолжительное время.
Этапность. Информационный проект следует внедрять и оценивать поэтапно, чтобы каждый шаг приносил конкретную выгоду предприятию.

Вывод: начинать нужно не с выбора программы, а с оценки потребностей и возможностей предприятия, с предпроектного обследования и создания технического проекта. Эти меры помогут определить, где вложения в информационные системы могут обеспечить наибольшую выгоду.

Зачем проводить аудит информационных систем?

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Белорусский рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых -моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны, это полная замена ИС, что влечёт за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.

Кроме того, возросла уязвимость ИС за счёт повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

передача информации по сетям общего пользования;
"информационная война" конкурирующих организаций;
высокая (типичная для России и Беларуси) текучка кадров с низким уровнем порядочности.

По данным некоторых западных аналитических агентств, до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Всё чаще и чаще у клиентов к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:

Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций.)
Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
Сбои в работе ИС, как выявить и локализовать проблемы?
Как решаются вопросы безопасности и контроля доступа?
Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
Когда необходимо провести модернизацию оборудования и ПО?
Почему всё время производится закупка дополнительного оборудования?
Сотрудники отдела ОАСУ постоянно чему-либо учатся, есть ли в этом необходимость?
Какие действия предпринимать в случае возникновения внештатной ситуации?
Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
Как снизить стоимость владения ИС?
Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всём мире существует определённая специфическая услуга - аудит Информационной Системы.

Ради безопасности...

Как театр начинается с вешалки, так и практически любая организация начинается с охраны. Где-то обходятся отставным военным, записывающим фамилии посетителей в тетрадку, где-то - хитроумными системами безопасности, через которые и мышь не проскочит - хотя бы потому, что у неё нет карточки доступа.

Но сотрудники службы охраны обеспечивают лишь физическую безопасность, в то время как гораздо больше ресурсов приходится тратить на безопасность информационную. Масштабы этой задачи могут широко варьировать в зависимости от ценности информации, содержащейся внутри организации. Кому-то нужно просто защититься от "начинающих хакеров", а кому-то - уберечься от промышленного шпионажа со стороны конкурентов.

Чтобы убедиться в эффективности существующей или создаваемой системы информационной безопасности, лучше всего обратиться к аудитору ИС.

Специалисты нередко подчёркивают, что аудит - это всего лишь проверка системы на соответствие каким-либо требованиям - стандартам, нормативным документам и т. д. Более детальную и глубокую проверку они предпочитают называть обследованием. Это более сложная работа, которая включает в себя анализ информационных потоков, бизнес-процессов, анализ адекватности систем защиты информации, критичности информации... То есть это - глубокий анализ с привязкой к конкретной организации.

Однако мы для простоты будем называть и это аудитом ИС.

Когда целесообразно прибегать к аудиту системы информационной безопасности?

До начала разработки системы информационной безопасности - чтобы знать текущее состояние и понимать, что делать.

ИТ-аудит позволяет получать актуальные сведения о текущем уровне функционирования системы и разрабатывать мероприятия по повышению ее эффективности. Основная цель проведения ИТ-аудита – сравнение состояния дел в организации с эталонной моделью: стандартами, нормативами, наборами лучших практик, регламентами сторонней компании. Другими словами, аудит информационных систем позволяет понять и зафиксировать разницу между нормой и существующими распорядками в ИТ-подразделении.

Обеспечение бизнес-процессов, необходимых для функционирования предприятий различных отраслей, подразумевает внедрение локальных и глобальных информационных систем. Значительная роль систем передачи данных в деятельности компаний обуславливает необходимость развития и достижения оптимального уровня функциональных возможностей ИТ-инфраструктуры. К работе ИТ-систем предъявляется целый ряд требований, таких как быстрый доступ к ресурсам, удобство конфигурации, гибкость и масштабируемость, безопасность и высокая надежность.

Среди наиболее популярных стандартов, которые специалисты «Апланы» используют в работе, выделяются: свод знаний по управлению проектами PMBok, модель зрелости процессов разработки ПО в организациях CMMI, подход к управлению и организации ИТ-услуг ITIL/ITSM.

Ключевые преимущества ИТ аудита именно у нас

Многие руководители предприятий различных отраслей бизнеса уже давно используют наши услуги для обеспечения высокой производительности и надежного функционирования информационных систем. Мы выступаем в качестве независимых консультантов, которые изучают ситуацию под разными углами и помогают определить существующие несовершенства системы.

К специалистам «Апланы» стоит обращаться, если требуется выяснить причину медленной разработки тех или иных систем, их неспособности справляться с поставленными бизнес-задачами. Наиболее сложной задачей является реструктуризация инвестиций в информационные технологии. Мы помогаем руководителю понять, насколько рационально происходит вложение средств в различные направления ИТ, и возможно ли их перераспределение.

Стоимость проведения ИТ аудита в организации зависит от каждого конкретного случая. Доверив проведение услуг специалистам «Апланы», вы всегда можете быть уверены, что получите ряд преимуществ:

Освобождаете себя от внутреннего штата аналитиков и не нуждаетесь в долгом и затратном развитии компетентных специалистов

Получаете независимую экспертную оценку от профессионалов в данной области

Получаете готовый план по комплексной оптимизации информационных процессов

Проводите «генеральную репетицию» перед сертификационными аудитами, например, по стандарту ISO

Разновидности аудита

Комплексный ИТ-аудит – полный и всесторонний анализ работы подразделений разработки и поддержки ПО, выявление неэффективных элементов, практик, методик, несоответствий определенным критериям и заданным стандартам.
Процессный аудит в ИТ-подразделениях – анализ технологий и процесса производства ПО в сравнении с эталонными моделями.
Аудит информационной системы на предмет правильности ее использования по сравнению с заданными стандартами или лучшими мировыми практиками.
Аудит организационной структуры – выявление пробелов и проблем кадровой структуры ИТ-подразделения.
Аудит процессов контроля качества – экспертная оценка состояния процессов тестирования по стандарту модели TMMI.

Основные задачи

Определение «узких мест» и выявление неэффективного использования системы. В результате клиент получает готовый набор рекомендаций для исправления выявленных недочетов.
Оценка стоимости и длительности процесса по ликвидации недочетов.
Определение потребности в ресурсах разных категорий: финансовых, производственных, интеллектуальных и т.д.
Подбор оптимальных инструментов для осуществления предложенных изменений с учетом внутренней специфики компании.

Аудит процессов разработки проводится специалистами «Апланы» с целью зафиксировать разницу между существующими процессам по разработке ПО и выбранными стандартными. Одна из ключевых особенностей в предоставлении услуги является ориентир на основные бизнес-задачи компании. Это позволяет более точно сформулировать рекомендации по увеличению эффективности ИТ-систем, принятию мер по снижению и устранению возможных рисков, оптимизации расходов совместно с повышением качества работы разработчиков.

Аудит не зависит от других услуг ИТ-консалтинга и может осуществляться на любом этапе развития компании. Как правило, разработка методологии опирается на результаты проведенного аудита.

Зачем проводить аудит информационных систем?

Сергей Гузик, JetInfo

Определение и задачи аудита

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена ИС, что влечет за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.
Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.
Спектр угроз расширился. Это обусловлено следующими причинами:
передача информации по сетям общего пользования;
"информационная война" конкурирующих организаций;
высокая текучка кадров с низким уровнем порядочности.
По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:
идеи;
знания;
проекты;
результаты внутренних обследований.
В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры "остается за кадром" и к решению не прилагается.
Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:
Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).
Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
Как оптимизировать инвестиции в ИС?
Что происходит внутри этого "черного ящика" - ИС организации?
Сбои в работе ИС, как выявить и локализовать проблемы?
Как решаются вопросы безопасности и контроля доступа?
Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?
Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?
Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?
Почему все время производится закупка дополнительного оборудования?
Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?
Какие действия предпринимать в случае возникновения внештатной ситуации?
Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
Как снизить стоимость владения ИС?
Как оптимально использовать сложившуюся ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.
Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит Информационной Системы.

ISACA (Ассоциация аудита и контроля информационных систем)

Подход к проведению аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался.
Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау".
Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС.
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.
Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.

CoBiT (Контрольные Объекты Информационной Технологии)

CoBiT - Контрольные ОБъекты Информационной Технологии - открытый стандарт, первое издание, которое в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (Рис. 1).

А теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:
Трудовые ресурсы - под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.
Приложения - прикладное программное обеспечение, используемое в работе организации.
Технологии - операционные системы, базы данных, системы управления и т.д.
Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания.
Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита ИС по следующим критериям:
Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.
Технический уровень - критерий соответствия стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность информации.
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.
Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:
технические стандарты;
кодексы;
критерии ИС и описание процессов;
профессиональные стандарты;
требования и рекомендации;
требования к банковским услугам, системам электронной торговли и производству.
Стандарт разработан и проанализирован сотрудниками соответствующих подразделений ведущих консалтинговых компаний и используется в их работе наряду с собственными разработками.
Применение стандарта CoBiT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач.
Если в первом случае - это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - ИС, стремящаяся к идеалу.
В дальнейшем мы будем рассматривать аудит ИС, подразумевая при этом, что на любом этапе возможно решение обратной задачи - проектирования ИС.
Несмотря на малый размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.
На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.
Отличительные черты CoBiT:
1. Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).
2. Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).
3. Адаптируемый, наращиваемый стандарт.
Рассмотрим преимущества CoBiT перед многочисленными западными и российскими разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям отечественных ИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

Практика проведения аудита ИС

Представленная на Рис. 2 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:
Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Проведение анализа - наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации.
Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Результаты проведения аудита

Результаты аудита ИС организации можно разделить на три основных группы:
1. Организационные - планирование, управление, документооборот функционирования ИС.
2. Технические - сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.
3. Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволит обоснованно создать следующие документы:
Долгосрочный план развития ИС.
Политика безопасности ИС организации.
Методология работы и доводки ИС организации.
План восстановления ИС в чрезвычайной ситуации.

Требования к представлению информации

Ассоциация ISACA разработала и приняла требования к представлению информации при проведении аудита. Применение стандарта CoBiT гарантирует соблюдение этих требований.
Основное требование - полезность информации. Чтобы информация была полезной, она должна обладать определенными характеристиками, среди которых:
1. Понятность. Информация должна быть понятной для пользователя, который обладает определенным уровнем знаний, что не означает, однако, исключения сложной информации, если она необходима.
Уместность. Информация является уместной или относящейся к делу, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие, будущие события или подтверждать и исправлять прошлые оценки.
На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Еще одна характеристика уместности - это своевременность информации, которая означает, что вся значимая информация своевременно, без задержки включена в отчет и такой отчет предоставлен вовремя.
Неким аналогом принципа уместности в отечественной практике может служить требование полноты отражения операций за учетный период, хотя требование отражения всей информации не тождественно требованию отражения существенной информации.
Достоверность, надежность. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Чтобы быть достоверной, информация должна удовлетворять следующим характеристикам:
- правдивость;
- нейтральность - информация не должна содержать однобоких оценок, то есть информация не должна предоставляться выборочно, с целью достижения определенного результата;
- осмотрительность - готовность к учету потенциальных убытков, а не потенциальных прибылей и как следствие - создание резервов. Такой подход уместен в состоянии неопределенности и не означает создание скрытых резервов или искажения информации;
- достаточность информации - включает такую характеристику, как требование полноты информации, как с точки зрения ее существенности, так и затрат на ее подготовку.

Потребность отечественного рынка в данной услуге

При оценке необходимости проведения аудита ИС необходимо акцентировать внимание на следующих моментах (см. Таб. 1):
сложности решаемых задач - постоянное увеличение, как количественное, так и качественное, задач, решаемых ИС;
разветвленности ИС - сложность в обслуживании, территориальная распределенность;
перспективности бизнеса - новые направления, рынки, условия работы;
руководство организацией - умение и желание руководителей стратегически мыслить, видеть перспективы, открываемые стандартизованным подходом, основанные на передовом опыте.
Кто заинтересован в проведении аудита? Прежде всего, это коммерческие или бюджетные организации и предприятия для обоснования инвестиций в ИС, системные интеграторы, ИТ компании для оценки влияния ИС на основной бизнес-процесс и расширения спектра предлагаемых услуг.
Для компаний, проводящих финансовый аудит - аудит ИС, дополнительная услуга, которая способна повысить рейтинг компании на рынке.
Генеральным подрядчикам работ будет интересна возможность оценить работу субподрядчиков в сфере ИТ.
А также проведение аудита ИС по стандарту CoBiT будет интересно любым предприятиям и организациям, имеющим или планирующим создание ИС и которые заинтересованы в получении ответов на вопросы, приведенные во введении этой статьи.

Таблица 1. Результаты проведения аудита.

Организационные	Технические	Методологические
Оценка стратегического планирования ИС, архитектуры, технологического направления	Понимание проблем, сбоев, узких мест информационной системы организации	Предоставление апробированных подходов к стратегическому планированию и прогнозированию
Общее управление ИС	Оценка технологических решений	Оптимизация документооборота ОИТП
Повышение конкурентоспособности организации	Оценка инфраструктуры	Повышение трудовой дисциплины
Проверка соответствия ИС задачам бизнеса	Комплексное решение вопросов безопасности	Обучение администраторов и пользователей ИС
Обоснование, управление и оценка инвестиций в ИС	Разработка путей решения проблем, минимизация затрат на решение проблемных ситуаций	Предоставление методов получения своевременной и объективной информации о текущем состоянии ИС организации
Снижение стоимости владения ИС	Профессиональный прогноз функционирования и необходимости модернизации ИС
Управление качеством	Реализация всего потенциала новых технологий
Управление проектами, выполняемыми в рамках ИС	Повышение эффективности функционирования информационной системы
Управление рисками	Расширение функционала ИС
Снижение затрат на обслуживание ИС	Оценка работы сторонних организаций
	Определение уровней обслуживания ИС

Выводы

Во всем мире консалтинг в сфере аудита приобрел поистине всеобъемлющий размах - "ни одного серьезного дела без аудита".
Но, несмотря на это, при изучении отчетов о проведении аудита ИС, в плане технической грамотности и содержательности рекомендаций выяснилось, что уровень предлагаемых заказчикам отчетов довольно низок. Это объясняется одной немаловажной причиной: подавляющее большинство западных аудиторских компаний, предлагающих свои услуги, в том числе в сфере ИТ, выросли из финансового аудита и приглашают технических специалистов лишь по мере надобности.
Здесь изначально и заложено преимущество отечественных компаний - системных интеграторов: наличие высококвалифицированных специалистов с огромным практическим опытом в различных сферах телекоммуникационного рынка позволяет им проводить аудит ИС как отдельную специфическую услугу, без существенных изменений в организационной структуре.
В случае, если эти организации возьмут на вооружение профессиональный стандарт с апробированной и отлаженной структурой, то профессионализм подобных услуг резко возрастет.