Informacijski sustavi za računovodstvo i reviziju. Revizija sigurnosti informacijskih sustava. Procjena utjecaja informacijskog sustava na reviziju u cjelini

Revizija informacijski sustavi pruža ažurne i točne podatke o tome kako IP funkcionira. Na temelju dobivenih podataka možete planirati aktivnosti za poboljšanje učinkovitosti poduzeća. Praksa revizije informacijskog sustava - usporedba standarda, realnog stanja. Proučite norme, standarde, propise i prakse primjenjive u drugim tvrtkama. Provođenjem revizije poduzetnik dobiva predodžbu o tome po čemu se njegova tvrtka razlikuje od normalne uspješne tvrtke u sličnom području.

Opći pregled

Informacijska tehnologija u moderni svijet izuzetno razvijen. Teško je zamisliti poduzeće koje nema informacijske sustave u službi:

• globalno;
• lokalni.

Zahvaljujući IP-u tvrtka može normalno funkcionirati i ići u korak s vremenom. Takve metodologije su neophodne za brzu i potpunu razmjenu informacija sa okoliš, što omogućuje tvrtki da se prilagodi promjenama u infrastrukturi i zahtjevima tržišta. Informacijski sustavi moraju zadovoljiti niz zahtjeva koji se mijenjaju tijekom vremena (novi razvoji, uvode se standardi, koriste se ažurirani algoritmi). U svakom slučaju informacijska tehnologija omogućuju brz pristup resursima, a taj se zadatak rješava kroz IS. Osim toga, moderni sustavi:

• skalabilan;
• fleksibilno;
• pouzdan;
• sef.

Glavni ciljevi revizije informacijskog sustava su utvrditi je li implementirani informacijski sustav u skladu sa zadanim parametrima.

Revizija: vrste

Vrlo često se koristi tzv. procesna revizija informacijskog sustava. Primjer: vanjski stručnjaci analiziraju implementirane sustave na razlike od standarda, uključujući proučavanje proizvodnog procesa, čiji je rezultat - softver.

Može se provesti revizija s ciljem utvrđivanja ispravnosti korištenja informacijskog sustava u radu. Prakse tvrtke uspoređuju se sa standardima proizvođača i poznatim primjerima međunarodnih korporacija.

Revizija sustava informacijske sigurnosti poduzeća utječe na organizacijsku strukturu. Svrha ovakvog događaja je pronaći slabe točke u osoblju IT odjela i identificirati probleme, kao i formulirati preporuke za njihovo rješavanje.

Konačno, revizija sustava informacijske sigurnosti usmjerena je na kontrolu kvalitete. Potom pozvani stručnjaci procjenjuju stanje procesa unutar poduzeća, testiraju implementirani informacijski sustav i donose zaključke na temelju primljenih informacija. Obično se koristi TMMI model.

Ciljevi revizije

Strateška revizija stanja informacijskih sustava omogućuje vam prepoznavanje slabosti u implementiranom informacijskom sustavu i prepoznavanje gdje je korištenje tehnologija bilo neučinkovito. Na kraju takvog procesa kupac će imati preporuke za uklanjanje nedostataka.

Revizija vam omogućuje da procijenite koliko će biti skupo napraviti promjene u trenutnoj strukturi i koliko će to trajati. Stručnjaci koji proučavaju trenutnu informacijsku strukturu tvrtke pomoći će vam odabrati alate za provedbu programa poboljšanja, uzimajući u obzir karakteristike tvrtke. Na temelju rezultata možete dati i točnu procjenu koliko resursa tvrtka treba. Analizirat će se intelektualna, monetarna, proizvodna.

Događaji

Interna revizija informacijskih sustava uključuje aktivnosti kao što su:

• IT inventar;
• identificiranje opterećenja informacijskih struktura;
• procjena statistike, podaci dobiveni tijekom inventure;
• utvrđivanje zadovoljavaju li poslovni zahtjevi i mogućnosti implementiranog IS-a;
• generiranje izvješća;
• razvoj preporuka;
• formalizacija NSI fonda.

Rezultat revizije

Strateška revizija stanja informacijskih sustava je postupak koji: omogućuje prepoznavanje razloga neučinkovitosti implementiranog informacijskog sustava; predvidjeti ponašanje informacijskog sustava pri prilagodbi informacijskih tokova (broj korisnika, količina podataka); donošenje informiranih odluka za povećanje produktivnosti (kupnja opreme, poboljšanje implementiranog sustava, zamjena); dati preporuke usmjerene na povećanje produktivnosti odjela tvrtke i optimizaciju ulaganja u tehnologiju. Također razvijati mjere koje poboljšavaju razinu kvalitete usluga informacijskih sustava.

To je važno!

Ne postoji takav univerzalni IP koji bi odgovarao svakom poduzeću. Postoje dvije uobičajene osnove na kojima možete stvoriti jedinstveni sustav prilagođen zahtjevima određenog poduzeća:

• Oracle.

Ali zapamtite da je ovo samo osnova, ništa više. Sva poboljšanja koja čine poslovanje učinkovitim moraju se programirati, uzimajući u obzir karakteristike pojedinog poduzeća. Vjerojatno ćete morati uvesti prethodno nedostajuće funkcije i onemogućiti one koje nudi osnovni sklop. Moderna tehnologija Revizija bankovnih informacijskih sustava pomaže da se točno shvati koje karakteristike informacijski sustav treba imati, a što treba isključiti kako bi korporativni sustav bio optimalan, učinkovit, ali ne pretežak.

Revizija informacijske sigurnosti

Analiza za prepoznavanje prijetnji informacijskoj sigurnosti postoji u dvije vrste:

• vanjski;
• interijer.

Prvi uključuje jednokratni postupak. Organizira ga voditelj poduzeća. Preporuča se redovito provoditi ovu mjeru kako bi se situacija držala pod kontrolom. Brojna dionička društva i financijske organizacije uvele su obvezu eksterne revizije IT sigurnosti.

Interno - ovo su redovito održavani događaji regulirani lokalnim regulatornim aktom „Pravilnik o unutarnjoj reviziji“. Za njegovu provedbu izrađuje se godišnji plan (izrađuje ga odjel nadležan za reviziju), a odobrava ga generalni direktor, drugi rukovoditelj. Informatička revizija - nekoliko kategorija djelatnosti, a sigurnosna revizija nije najmanje važna.

Ciljevi

Glavni cilj revizije informacijskih sustava iz sigurnosne perspektive je identificirati rizike vezane uz IS povezane sa sigurnosnim prijetnjama. Osim toga, aktivnosti pomažu identificirati:

• slabosti postojećeg sustava;
• usklađenost sustava sa standardima informacijske sigurnosti;
• razinu sigurnosti u trenutnom trenutku.

Kao rezultat sigurnosne revizije formulirat će se preporuke za poboljšanje postojećih rješenja i uvođenje novih, čime će se postojeći informacijski sustav učiniti sigurnijim i zaštićenijim od raznih prijetnji.

Ako se unutarnja revizija provodi radi utvrđivanja prijetnji informacijskoj sigurnosti, dodatno se razmatra sljedeće:

• sigurnosnu politiku, mogućnost izrade nove, kao i drugih dokumenata, radi zaštite podataka i pojednostavljenja njihove uporabe u proizvodnom procesu korporacije;
• formiranje sigurnosnih zadataka za zaposlenike IT odjela;
• analiza situacija koje uključuju prekršaje;
• obuka korisnika korporativni sustav, opći sigurnosni aspekti operativnog osoblja.

Interna revizija: značajke

Navedeni zadaci koji se postavljaju zaposlenicima prilikom provođenja interne revizije informacijskih sustava u biti nisu revizija. Teoretski, osoba koja vodi događaj samo kao stručnjak procjenjuje mehanizme kojima je sustav siguran. Osoba uključena u zadatak postaje aktivni sudionik procesa i gubi samostalnost te više ne može objektivno procijeniti situaciju i kontrolirati je.

S druge strane, u praksi je tijekom interne revizije gotovo nemoguće ostati po strani. Činjenica je da se za izvođenje radova angažira stručnjak tvrtke koji je inače zauzet drugim poslovima u sličnom području. To znači da je revizor isti zaposlenik koji je kompetentan rješavati prethodno navedene zadatke. Stoga moramo napraviti kompromis: na uštrb objektivnosti, uključiti zaposlenika u praksu kako bismo dobili pristojan rezultat.

Sigurnosni audit: faze

Oni su u velikoj mjeri slični koracima opće IT revizije. Istakni:

• početak događaja;
• prikupljanje baze za analizu;
• analiza;
• izvođenje zaključaka;
• izvještavanje.

Pokretanje postupka

Revizija informacijskih sustava u smislu sigurnosti počinje kada čelni čovjek tvrtke da zeleno svjetlo, jer su upravo šefovi ti koji su najviše zainteresirani za učinkovitu reviziju poduzeća. Revizija se ne može provesti ako menadžment ne podržava postupak.

Revizija informacijskih sustava obično je sveobuhvatna. Uključuje revizora i nekoliko ljudi koji predstavljaju različite odjele tvrtke. Važno suradnja svim sudionicima revizije. Prilikom pokretanja revizije važno je obratiti pozornost na sljedeće točke:

• dokumentirano evidentiranje odgovornosti i prava revizora;
• priprema i odobravanje plana revizije;
• dokumentiranje činjenice da su zaposlenici dužni revizoru pružiti svu moguću pomoć i dati sve podatke koje on traži.

Već pri pokretanju revizije važno je utvrditi u kojim se granicama provodi revizija informacijskih sustava. Dok su neki podsustavi IS kritični i zahtijevaju posebnu pozornost, drugi nisu i dovoljno su nevažni da je njihovo isključivanje prihvatljivo. Vjerojatno će postojati podsustavi koji se ne mogu provjeriti, budući da su sve tamo pohranjene informacije povjerljive.

Plan i granice

Prije početka rada generira se popis resursa koje je potrebno provjeriti. To može biti:

• informativni;
• softver;
• tehničkog.

Oni identificiraju koja se mjesta nadziru i na koje prijetnje se sustav provjerava. Postoje organizacijske granice događaja i sigurnosni aspekti koji se moraju uzeti u obzir tijekom revizije. Generira se ocjena prioriteta koja označava opseg inspekcije. Takve granice, kao i akcijski plan, odobrava generalni direktor, ali se prvo odlučuje o temi glavnog radnog sastanka, na kojem su prisutni voditelji odjela, revizor i rukovoditelji tvrtke.

Primanje podataka

Kod provođenja sigurnosne revizije, standardi za reviziju informacijskih sustava su takvi da se faza prikupljanja informacija pokazuje kao najduža i radno najintenzivnija. Informacijski sustav u pravilu nema dokumentaciju za to, te je revizor prisiljen blisko surađivati ​​s brojnim kolegama.

Kako bi doneseni zaključci bili kompetentni, revizor mora prikupiti što više podataka. O tome kako je organiziran informacijski sustav, kako funkcionira iu kakvom je stanju, auditor upoznaje iz organizacijske, administrativne i tehničke dokumentacije, tijekom samostalnog istraživanja i korištenja specijaliziranog softvera.

Dokumenti potrebni za rad revizora:

• organizacijska struktura odjela koji opslužuju IS;
• organizacijska struktura svih korisnika.

Revizor intervjuira zaposlenike, identificirajući:

• pružatelj usluga;
• vlasnik podataka;
• korisnik podataka.

Da biste to učinili, morate znati:

• glavne vrste aplikacija IS-a;
• broj, vrste korisnika;
• usluge koje se pružaju korisnicima.

Ako tvrtka ima dokumente o intelektualnoj svojini s popisa u nastavku, obavezno ih je dostaviti revizoru:

• opis tehničkih metodologija;
• opis metoda za automatizaciju funkcija;
• funkcionalni dijagrami;
• radna, projektna dokumentacija.

Identifikacija IP strukture

Da bi donio ispravne zaključke, revizor mora imati najpotpunije razumijevanje značajki informacijskog sustava implementiranog u poduzeću. Morate znati koji su sigurnosni mehanizmi i kako su raspoređeni po razinama u sustavu. Da biste to učinili, saznajte:

• dostupnost i karakteristike korištenih komponenti sustava;
• funkcije komponenti;
• grafički;
• ulazi;
• interakcija s različitim objektima (vanjski, unutarnji) i protokoli, kanali za to;
• platforme koje se koriste za sustav.

Sljedeće sheme će biti korisne:

• strukturalni;
• tokovi podataka.

Strukture:

• tehnička sredstva;
• informacijska podrška;
• strukturne komponente.

U praksi se mnogi dokumenti pripremaju izravno tijekom inspekcije. Informaciju je moguće analizirati samo kada se prikupi maksimalna količina informacija.

Revizija IP sigurnosti: analiza

Postoji nekoliko tehnika koje se koriste za analizu dobivenih podataka. Odabir u korist određenog temelji se na osobnim preferencijama revizora i specifičnostima konkretnog zadatka.

Najsloženiji pristup uključuje analizu rizika. Formirani su sigurnosni zahtjevi za informacijski sustav. Temelje se na karakteristikama određenog sustava i njegovog radnog okruženja, kao i na prijetnjama svojstvenim tom okruženju. Analitičari se slažu da ovaj pristup zahtijeva najviše rada i maksimalne kvalifikacije revizora. Koliko će rezultat biti dobar ovisi o metodologiji analize informacija i primjenjivosti odabranih opcija na tip informacijskog sustava.

Praktičnija opcija uključuje okretanje standardima sigurnosti podataka. Oni definiraju skup zahtjeva. Ovo je prikladno za različite IP-ove, jer je metodologija razvijena na temelju najvećih tvrtki iz različitih zemalja.

Iz standarda proizlazi koji su sigurnosni zahtjevi, ovisno o stupnju zaštite sustava i njegovoj pripadnosti određenoj instituciji. Mnogo ovisi o namjeni IP-a. Glavni zadatak revizora je ispravno odrediti koji je skup sigurnosnih zahtjeva relevantan u određenom slučaju. Odabiru metodu kojom ocjenjuju zadovoljavaju li postojeći parametri sustava norme. Tehnologija je prilično jednostavna, pouzdana i stoga široko rasprostranjena. Uz mala ulaganja, rezultat može biti točan zaključak.

Zanemarivanje je nedopustivo!

Praksa pokazuje da mnogi menadžeri, posebno male firme, kao i oni čije tvrtke posluju dugo i ne trude se sve savladati Najnovije tehnologije, prema reviziji informacijskih sustava odnose se prilično nemarno jer jednostavno ne shvaćaju važnost te mjere. Obično samo šteta u poslovanju potiče menadžment da poduzme mjere za provjeru, identifikaciju rizika i zaštitu poduzeća. Drugi su suočeni s činjenicom da im se kradu podaci o njihovoj klijenteli, trećima dolazi do curenja iz baza podataka izvođača ili gubitka informacija o ključnim prednostima određenog subjekta. Potrošači prestaju vjerovati tvrtki čim se incident obznani javnosti, a tvrtka trpi čak i veću štetu od samog gubitka podataka.

Ako postoji mogućnost curenja informacija, nemoguće je izgraditi učinkovito poslovanje koje ima dobre prilike sada i u budućnosti. Svaka tvrtka ima podatke koji su vrijedni trećim stranama i treba ih zaštititi. Tako da je zaštita uključena najviša razina, potrebna je revizija za utvrđivanje slabe strane. Treba uzeti u obzir međunarodne standarde, metode i najnovija dostignuća.

Tijekom revizije:

• procijeniti razinu zaštite;
• analizirati korištene tehnologije;
• prilagoditi sigurnosne dokumente;
• simulirati rizične situacije u kojima je moguće curenje podataka;
• preporučiti implementaciju rješenja za uklanjanje ranjivosti.

Ti se događaji provode na jedan od tri načina:

• aktivan;
• stručnjak;
• utvrđivanje usklađenosti sa standardima.

Revizijski obrasci

Aktivna revizija uključuje procjenu sustava koji potencijalni haker promatra. Njegovo je gledište ono što revizori “iskušavaju” - proučavaju zaštitu mreže, za što koriste specijalizirani softver i jedinstvene tehnike. Potrebna je i interna revizija, također provedena sa stajališta navodnog kriminalca koji želi ukrasti podatke ili poremetiti rad sustava.

Stručnim auditom provjeravaju koliko implementirani sustav odgovara idealnom. Prilikom utvrđivanja usklađenosti sa standardima, kao osnova se uzima apstraktni opis normi s kojima se uspoređuje postojeći objekt.

Zaključak

Ispravno i učinkovito provedena revizija omogućuje vam da dobijete sljedeće rezultate:

• minimiziranje vjerojatnosti uspjeha hakerski napad, šteta od njega;
• uklanjanje napada temeljenih na promjenama u arhitekturi sustava i protoku informacija;
• osiguranje kao sredstvo smanjenja rizika;
• minimiziranje rizika do razine na kojoj se može potpuno zanemariti.

Danas mnogi menadžeri nisu zadovoljni razinom automatizacije koja se razvila u poduzeću. Fizički i moralno zastarjeli informacijski sustavi (IS), “patchwork” automatizacija pojedinih procesa više nisu u mogućnosti pružiti menadžmentu brze i pouzdane informacije toliko potrebne za donošenje informiranih i pravovremenih upravljačkih odluka.

Nesavršenost sustava upravljanja dovodi do smanjenja profitabilnosti poduzeća i nestabilnog položaja na tržištu roba i usluga.

Povratak na probleme složene automatizacije poduzeća uzrokovan je interesom menadžmenta poduzeća za stvaranje učinkovite strukture upravljanja, au tom pitanju informacijska podrška igra važnu ulogu. Stoga se ponovno na dnevnom redu našlo pitanje stvaranja korporativnih informacijskih sustava.

Ali čak i uz uspješne implementacije, upravljanje poduzećem ne postiže uvijek željeni učinak. Uspjeh projekta automatizacije ne znači automatski da će se iz njega dobiti značajne koristi. Čak i ako su projektni ciljevi postignuti, oni možda neće zadovoljiti trenutne proizvodne zahtjeve. To se događa vrlo često.

Propali projekti automatizacije, ogromni gubici vremena i novca - ova slika se može vidjeti u velikim poduzećima. Zašto se to događa? Zašto nas visoka tehnologija, proizvodi ili autoritet poznatih tvrtki ne mogu spasiti? Zašto i gotovi paketi i prilagođeni informacijski sustavi ne rade? Zašto se tvrtke ne mogu osloboditi patchwork automatizacije?

Praksa izrade sustava po modelu "kakav jest" pokazala je da automatizacija bez modernizacije postojećeg sustava upravljanja ne donosi željene rezultate. Uostalom, korištenje softverskih aplikacija u radu nije samo smanjenje papirnate dokumentacije i rutinskog poslovanja, već i prijelaz na nove oblike upravljanja dokumentima, računovodstva i izvješćivanja.

Ne opravdava se ni “patchwork” automatizacija pojedinih poslova običnih izvođača. Kao rezultat toga, upravitelj i dalje prima podatke pripremljene ručno.

Postoji iluzija da možete automatizirati poduzeće s "malim gubitkom", koristeći vlastite zaposlenike koji već primaju plaću.

AUTOMATIZACIJA poduzeća je stvaranje neke pomoćne proizvodnje, koja pojednostavljuje donošenje odluka menadžmentu poduzeća.

Praksa pokazuje da je u području automatizacije, kao iu području revizije, privlačenje vanjskih stručnjaka ekonomski opravdano i učinkovitije.

Zaposlenik koji razvija sustav dugo je odsječen od svojih izravnih odgovornosti za rad već funkcionalnih programa; projekt može propasti zbog odlaska vodećih stručnjaka. Razvoj informacijskog sustava od strane samog poduzeća može se odužiti godinama, a da vrhunskom menadžmentu ne donese stvarnu korist.

Razmatrajući problem učinkovitosti informacijskih sustava sa stajališta analize sustava, možemo identificirati glavne kriterije za ocjenu učinkovitosti:

1. Odabir resursa. Prilikom odabira informacijskog sustava potrebno je poći od činjenice da je korištenje bilo kojeg resursa preporučljivo samo kada daje pozitivan učinak.
2. Dinamika. Treba uzeti u obzir faktor vremena, važno je odabrati one tehnologije koje će se dugo koristiti.
3. Insceniranost. Informacijski projekt treba provoditi i evaluirati u fazama tako da svaki korak poduzeću donosi određene koristi.

Zaključak: ne morate započeti s odabirom programa, već s procjenom potreba i mogućnosti poduzeća, s predprojektnom anketom i izradom tehničkog projekta. Ove mjere pomoći će odrediti gdje ulaganja u informacijske sustave mogu pružiti najveće koristi.

Zašto provoditi reviziju informacijskog sustava?

Pojam revizije informacijskog sustava znači proces sustava dobivanje i ocjenjivanje objektivnih podataka o trenutnom stanju informacijskog sustava, radnjama i događajima koji se u njemu događaju, utvrđivanje razine njihove usklađenosti s određenim kriterijem i pružanje rezultata korisniku.

Trenutačno je relevantnost revizije naglo porasla, to je zbog sve veće ovisnosti organizacija o informacijama i IP-u. Bjelorusko tržište je zasićeno hardverom i softverom; mnoge organizacije iz niza razloga (od kojih je najneutralniji zastarjelost opreme i softvera) uviđaju neadekvatnost prethodno uloženih sredstava u informacijske sustave i traže načine za rješavanje ovaj problem. Mogu biti dva: s jedne strane, to je potpuna zamjena IS-a, što podrazumijeva velika kapitalna ulaganja, s druge strane, modernizacija IS-a. Posljednja opcija za rješavanje ovog problema je jeftinija, ali otvara nove probleme, na primjer, što zadržati od postojećeg hardvera softver, kako osigurati kompatibilnost između starih i novih elemenata IS.

Osim toga, povećana je ranjivost informacijskog sustava zbog povećane složenosti elemenata ovog informacijskog sustava, porasta linija programskog koda te novih tehnologija za prijenos i pohranu podataka.

Raspon prijetnji je proširen. To je zbog sljedećih razloga:

• prijenos informacija preko mreža uobičajena uporaba;
• "informacijski rat„konkurentske organizacije;
• visoka (tipična za Rusiju i Bjelorusiju) fluktuacija osoblja s niskom razinom integriteta.

Prema nekim zapadnim analitičkim agencijama, do 95% pokušaja neovlaštenog pristupa povjerljivim informacijama događa se na inicijativu bivših zaposlenika organizacije.

Klijenti sve češće postavljaju sljedeća pitanja sistemskim integratorima, projektantskim organizacijama i dobavljačima opreme:

1. Što je sljedeće? (Prisutnost strateškog plana razvoja organizacije, mjesto i uloga IP-a u tom planu, predviđanje problemskih situacija.)
2. Usklađuje li se naš IP s poslovnim ciljevima? Je li poslovanje postalo privjesak informacijskog sustava?
3. Kvarovi u radu informacijskih sustava, kako prepoznati i lokalizirati probleme?
4. Kako se rješavaju pitanja sigurnosti i kontrole pristupa?
5. Izvođači su izvršili dostavu, montažu, puštanje u rad. Kako ocijeniti njihov rad? Postoje li neki nedostaci, ako postoje, koji su?
6. Kada je potrebno nadograditi hardver i softver?
7. Zašto se stalno kupuje dodatna oprema?
8. Djelatnici odjela OASU stalno nešto uče, ima li potrebe za tim?
9. Koje radnje poduzeti u hitnom slučaju?
10. Koji rizici nastaju pri stavljanju povjerljivih informacija u IP organizacije? Kako minimizirati te rizike?
11. Kako smanjiti troškove posjedovanja IP-a?
12. Kako optimalno iskoristiti postojeći IP u razvoju poslovanja?

Na ova i druga slična pitanja nije moguće odgovoriti odmah. Samo sagledavanjem svih problema u cjelini, odnosa među njima, uvažavanjem nijansi i nedostataka, mogu se dobiti pouzdane, utemeljene informacije. U tu svrhu konzultantske tvrtke diljem svijeta imaju određenu specifičnu uslugu - Audit informacijskog sustava.

Radi sigurnosti...

Baš kao što kazalište počinje s vješalicom za kapute, tako gotovo svaka organizacija počinje sa sigurnošću. Negdje se snalaze s umirovljenim vojnim osobama koje zapisuju imena posjetitelja u bilježnicu, negdje se snalaze s pametnim sigurnosnim sustavima kroz koje ni miš ne može proći, makar samo zato što nema pristupnu karticu.

Ali zaštitari pružaju samo fizičku sigurnost, dok mnogo više resursa morati potrošiti na informacijsku sigurnost. Opseg ovog zadatka može uvelike varirati ovisno o vrijednosti informacija sadržanih u organizaciji. Neki se ljudi samo trebaju zaštititi od "hakera početnika", dok se drugi trebaju zaštititi od industrijske špijunaže konkurenata.

Kako biste osigurali učinkovitost postojećeg ili novoizgrađenog sustava informacijske sigurnosti, najbolje je kontaktirati revizora IS-a.

Stručnjaci često ističu da je audit samo provjera usklađenosti sustava s bilo kojim zahtjevima - standardima, propisima i sl. Detaljniju i dubinsku provjeru radije nazivaju anketom. Riječ je o složenijem poslu koji uključuje analizu tokova informacija, poslovnih procesa, analizu adekvatnosti sustava informacijske sigurnosti, kritičnost informacija... Odnosno, radi se o dubinskoj analizi s obzirom na konkretnu organizaciju.

Međutim, zbog jednostavnosti, ovo ćemo nazvati IP revizijom.

Kada je preporučljivo pribjeći reviziji informacijske sigurnosti sustava?

• Prije početka razvoja sustava informacijske sigurnosti - znati trenutno stanje i razumjeti što učiniti.

Posljednjih godina nove informacijske tehnologije počele su se koristiti u revizijskim djelatnostima. Računalo postaje alat revizora, omogućujući mu ne samo smanjenje vremena i novca za provođenje revizije, već i provođenje detaljnije revizije i izradu visokokvalitetnog revizorskog izvješća s preporukama o strategiji, smjerovima i načinima poboljšanja financijski i ekonomski položaj poduzeća.

Automatizacija računovodstvenih i drugih funkcija upravljanja poduzećem, s jedne strane, i automatizacija revizije, s druge strane, iz temelja mijenjaju provođenje revizije u konkretnom objektu. Počeli su razlikovati reviziju izvan računalnog okruženja, tj. u objektu s klasičnom ručnom računovodstvenom tehnologijom, a revizija u računalnom okruženju - u objektu u kojem se računovodstvo obavlja pomoću računala. Samu reviziju moguće je provesti i bez upotrebe računala i uz njihovu pomoć.

Provođenje revizije u računalnom okruženju ima niz razlika koje proizlaze iz karakteristika računalne obrade podataka. Osnovna načela same revizije ovdje se ne mijenjaju. Njegovi ciljevi i ciljevi su očuvani, a primjenjuju se općeprihvaćeni standardi. U isto vrijeme, međunarodni revizijski standardi zahtijevaju od revizora koji provodi reviziju u računalnom okruženju da razumije računalni hardver i softver, kao i sustave za obradu podataka.

Revident mora voditi računa o specifičnostima organiziranja i vođenja računalnih zapisa. Mora voditi računa da se podaci pohranjuju u baze podataka, da je baza knjigovodstvenih knjiženja osnova za dobivanje na zahtjev bilo kojeg knjigovodstvenog registra i bilo kojim redoslijedom. Baza podataka u računalnim računovodstvenim sustavima može biti decentralizirana, djelomično ili potpuno centralizirana. U višekorisničkom načinu rada integracija podataka za izvješćivanje implementirana je drugačije. Brojne radnje, poput obračuna kamata, zatvaranja računa, utvrđivanja financijskih rezultata, mogu se pokrenuti putem računala te stoga ne postoje dokumenti koji bi ih ovlastili. Pogreška ugrađena u algoritam izračuna i opetovano primijenjena na ponovljene poslovne transakcije može iskriviti rezultat poslovnih aktivnosti. Stanje se, na primjer, može složiti u rubljama, ali ne i u tisućama rubalja zbog pogreške zaokruživanja. Računalni računovodstveni sustavi u pravilu uključuju kontrolu nad postupcima unosa, obrade i ispisa podataka. Računalni sustavi otvoreniji su za pristup podacima, stoga su u svakom od njih jasno razgraničene ovlasti i prava pristupa informacijama te je uveden sustav zaštite i kontrole od neovlaštenog pristupa.

Samo nabrajanje ovih, daleko od potpunih, značajki automatiziranog računovodstva naglašava da u prvoj fazi svake revizije značajno mjesto treba posvetiti proučavanju računalnog računovodstvenog sustava, budući da on ima veliku ulogu u provedbi kontrolnih funkcija. . U tom slučaju treba proučiti razinu automatizacije svakog od računovodstvenih zadataka, metode obrade podataka, dostupnost podataka, identificirati gdje se pogreške najvjerojatnije pojavljuju te razmotriti postupke za njihovu identifikaciju i otklanjanje.

Revizor mora identificirati slabosti u kontroli računalnog računovodstvenog sustava. Treba uzeti u obzir i hardverske i softverske kontrole. U multiplayeru mrežni sustavi predmet pažnje treba biti kontrola prijenosa podataka, sredstva kontrole pristupa podacima. Pozornost revizora na pitanja kontrole u računalnom okruženju objašnjava se činjenicom da on nije u mogućnosti kontrolirati sve aspekte aktivnosti organizacije i stoga se neki od zadataka mogu dodijeliti internoj kontroli. Međutim, za to je potrebno procijeniti rizik neučinkovitosti sustava internih kontrola i utvrditi ukupni revizijski rizik. Tek nakon toga revizor može utvrditi skup i dubinu revizijskih postupaka koje treba provesti na predmetu revizije.

Revizija se, kao što je gore navedeno, može izvesti bez računala i pomoću njega. Alati za reviziju u potonjoj verziji podijeljeni su na revizijske programe i podatke za provjeru, koji se unose u sustav za obradu radi usporedbe primljenih podataka s unaprijed utvrđenim.

Popis zadataka koje obavljaju programi revizije prilično je širok. Pregledavaju i analiziraju zapise na temelju kriterija kvalitete, potpunosti, dosljednosti i ispravnosti; testirati izvršenje izračuna; usporediti podatke iz različitih datoteka kako bi se identificirali nekompatibilni podaci; prilikom provođenja revizije uzorka mogu se koristiti za dobivanje reprezentativnog uzorka; nezamjenjivi su kao način pristupa podacima koji su pohranjeni samo u strojnom obliku; omogućuju vam brzo organiziranje, grupiranje i ponovno formatiranje podataka.

Softver za provođenje revizija predstavlja dvije vrste programa: paketni programi i ciljani programi. Batch programi su skup programa Opća namjena, pružajući širok raspon funkcija obrade i analize podataka, uključujući pripremu i ispis izvješća. Korištenjem paketa programa moguće je izraditi simulacijski model obrade podataka koji može odgovoriti na sve opcije pogreške koje je dao revizor. Ciljani programi sastavljaju se za obavljanje revizijskih angažmana u specifičnim situacijama. Ove programe pripremaju revizori ili organizacija klijent u dogovoru s revizorskom tvrtkom.

Budući da se revizije uzorka provode prilično često, statističke metode su implementirane u programe revizije. Uvedene su funkcije regresijske analize, analize vremenskih serija, izglađivanja stolni procesori(Excel, Lotus 1-2-3, itd.) i to je ono što ih je učinilo tako popularnim među revizorima. Međutim, kada provode prilično složene izračune, revizori koriste specijalizirane statističke pakete opće namjene. Implementiraju skup različitih statističkih metoda, omogućuju vam razmjenu s najčešćim DBMS-om i imaju mogućnost grafički prikaz podaci, korisničko sučelje. Trenutno su najpopularniji od njih Mathematics, Statistics, Quick, Statgraphics.

Sustavi automatizacije financijske analize naširoko se koriste za vanjske i interne revizije.

Revizije također koriste uređivači teksta, referentne i pravne baze podataka, programe za upravljanje elektroničkim dokumentima, računovodstvene programe i njihove pojedine module.

Trenutno neke revizorske tvrtke razvijaju posebne informacijske sustave usmjerene na internu regulaciju revizijskih aktivnosti koristeći interne standarde. Razmotrimo njihove mogućnosti na primjeru sustava "Autitor's Assistant" koji je razvila tvrtka "Service-Audit".

Sustav "Pomoćni revizor" tvrtke "Service-Audit". Ovaj razvoj je stručni informacijsko-referentni sustav integriran u informacijsko-potraživački sustav (IRS) „Šifra“. Namijenjen je revizorskim tvrtkama, privatnim revizorima, kao i tvrtkama i poduzećima koja žele poboljšati učinkovitost usluga interne revizije te financijskih i ekonomskih usluga. Zahvaljujući integraciji u informacijski sustav Codex, Auditor's Assistant omogućuje pretraživanje potrebne građe svim mogućim metodama koje su u njemu implementirane (tematsko pretraživanje, kontekstualno pretraživanje, pretraživanje po nazivu, tipu i tipu dokumenta i dr.).

Sustav "Autitor Assistant" omogućuje vam da sistematizirate provedbu revizijskih postupaka, počevši od preliminarnog ispitivanja klijenta i završavajući s izvršenjem revizorskog izvješća, generirate niz radnih dokumenata potrebnih za dokumentiranje revizije, što omogućuje učinkovitu kvalitetu kontrolu revizija, kao i pružiti revizoru (računovođi, ekonomistu) referentni materijal o širokom spektru pitanja računovodstva, poreza i financijske analize.

Sustav se sastoji od četiri uvjetno nezavisne tematske cjeline.

Odjeljak “Planovi i programi revizije” sadrži obrasce dokumenata koje je potrebno izraditi prije potpisivanja ugovora o reviziji, uzorke ugovora za različite vrste usluga revizije, obrasce i uzorke dokumenata koji se generiraju u fazi planiranja revizije i sastavljanja revizije. program, kao i metodološke materijale koji se mogu koristiti za izradu internih standarda za revizorsku tvrtku. Upitnike uključene u ovaj odjeljak mogu koristiti ne samo revizorske tvrtke. Pomoću njih službe interne revizije ili financijsko-ekonomske službe poduzeća mogu testirati sustav internih kontrola i organizaciju računovodstva.

U rubrici "Radni dokumenti revizora" nalaze se upitnici o različitim područjima računovodstva. Osmišljeni su kao pomoć u obavljanju revizijskih postupaka i testiranju pojedinih dijelova računovodstva u poduzeću. Ovaj dio također uključuje metodološke materijale osmišljene kao pomoć u pripremi i izdavanju izvješća na temelju rezultata revizije.

Odjeljak „Konzultant revizora” sadrži referentne tablice o pitanjima računovodstva, oporezivanja, financijske analize aktivnosti poduzeća, kao i standarde, stope, indekse sastavljene u obliku tablica, koji se koriste za izračun pokazatelja pojedinačnih poslovnih transakcija i poreza iznose.

Odjeljak "Glavni regulatorni dokumenti" služi samo kao referenca i uključuje glavne zakonske i regulatorne akte odjela koji uređuju revizijske aktivnosti i računovodstvene postupke.

Baze podataka sustava "Autitor's Assistant" su skup revizijskih postupaka, oblikovanih u obliku upitnika, obrazaca, radnih kartica, metoda i referentnih tablica. Većina dokumenata uključenih u baze podataka izvorni su autorski razvoji koje su izradili stručnjaci s opsežnim praktično iskustvo revizija. Informativni izvori IS "Asistent revizora" stalno se nadopunjuje, ažurira, ažurira u skladu s promjenama u zakonodavnom i regulatornom okviru za reviziju i računovodstvo.

Pitanja za samokontrolu

1. Otkriti specifičnosti provođenja revizije u računalnom računovodstvenom okruženju.

2. Kako se dijele revizijski alati kada se revizija provodi pomoću softvera?

3. Navedite neke od zadataka koje mogu obavljati programi revizije.

4. Koje se vrste programa koriste pri provođenju revizija?

5. Navedite primjer specijaliziranog sustava za automatizaciju revizije i opišite ga.

Što je revizija informacijskih sustava

Revizija informacijskih sustava kod nas je relativno nov pojam. Stoga, prije nego što se okrenemo ovom konceptu, prisjetimo se definicija tradicionalnijih vrsta revizije. Kad koristimo riječ „revizija“, prije svega zamišljamo reviziju financijskih aktivnosti poduzeća od strane revizora. Pravi se razlika između privatne revizije i zakonske revizije. Privatna revizija se provodi na zahtjev, odnosno svaka tvrtka može pozvati privatnog revizora da revidira svoje financijske aktivnosti. Revizija je po zakonu pravno valjana mjera. Na primjer, banka koja daje zajam tvrtki može zahtijevati izvješće neovisnog revizora o financijskom stanju te tvrtke. Među najčešćim vrstama revizije je bankovna revizija, odnosno sveobuhvatna provjera ili ispitivanje rezultata financijskog i gospodarskog poslovanja banaka.

Nedavno su funkcije revizije sve više nadilazile provjeru financijskih aktivnosti poduzeća. Odgovornosti vanjskih revizora uključuju nove vrste ispitivanja. Na primjer, operativna revizija uključuje savjetovanje tvrtke o pitanjima upravljanja, ocjeni marketinške učinkovitosti, ocjeni sklopljenih ugovora sa stajališta zakonskih zahtjeva itd.

Danas niti jedna proizvodnja, niti jedna tvrtka ne može bez informacijskog sustava, a informacije postaju predmet i rezultat rada cijelog tima zaposlenika tvrtki različitih profila. Svaka tvrtka svakodnevno proizvodi široku paletu informacija. Za učinkovito korištenje informacija, korporativni standardi moraju biti implementirani u organizaciju papirologiju, sustavi timski rad, sustavi za upravljanje dokumentima itd. Odgovor na pitanje koliko su kompetentno planirane sve karike ovog posla trebala bi dati revizija informacijskog sustava.

Trošak informacijskih sustava veliki novac, ali pokušaji uštede novca na kompetentnom dizajnu informacijskih sustava dovode do kobnih rezultata.

Prema Gartner grupi, prosječna tvrtka gubi 2-3% prihoda unutar 10 dana nakon kvara IS-a. Potrebno je 4,8 dana da se potpuno obnovi kvar na mreži, nakon čega se tvrtka vraća na prethodnu razinu profitabilnosti. Međutim, 50% tvrtki koje ne uspiju vratiti funkcionalnost unutar tih 10 dana nikada se ne vrate na prethodnu razinu profitabilnosti, a 93% tvrtki koje ignoriraju brzi oporavak podataka i planove sigurnosnog kopiranja propadaju unutar 5 godina.

Nedostatak građevinskih standarda i dugoročnih planova za razvoj IP-a prijeti mnogim poduzećima velikim financijskim gubicima. IP zahtijeva visokokvalificirane stručnjake, ali uska specijalizacija zauzvrat stvara probleme. Većina njih nastaje upravo na sjecištu tehničkih i menadžerskih aspekata. Revizija informacijskih sustava upravo je usmjerena na pronalaženje uskih grla, mogućih kvarova u radu informacijskih sustava, te što je najvažnije, na utvrđivanje uzroka tih kvarova.

Dakle, IP audit je složen proces analiza podataka o trenutnom stanju informacijskog sustava poduzeća, o akcijama i događajima koji se u njemu događaju, čime se utvrđuje razina njihove usklađenosti s određenim kriterijem. Ovaj proces kulminira pružanjem izvješća koja menadžmentu daju potpunu sliku IP-a.

Revizija informacijskih sustava u Rusiji

Problemi revizije informacijskih sustava u posljednje vrijeme sve više postaju predmetom rasprava ne samo stručnjaka za informacijske tehnologije, već i širokog kruga menadžera, ali i klijenata. velike tvrtke. Problem optimizacije IS-a posebno je akutan u Rusiji, gdje su se mnogi informacijski sustavi razvili spontano.

Kvarovi informacijskog sustava događaju se u najstresnijim, a samim time i u najpresudnijim trenucima. Trenutno su pitanja revizije informacijskih sustava već pitanja povjerenja određene tvrtke. Njegova privlačnost za potencijalne kupce ovisi o tome koliko je pouzdano izgrađen informacijski sustav tvrtke.

U Rusiji praktički nema stručnjaka u području revizije IP-a, a usluge zapadnih tvrtki vrlo su skupe. Ispunite ovu prazninu sa rusko tržište Tvrtka Microinform preuzela je iu rujnu ove godine započela s izvođenjem tečajeva iz područja revizije informacijskih sustava. Kako bi širu javnost i novinare upoznali s ovom djelatnošću, Microinform i MIS Training Institute (svjetski lider u izobrazbi stručnjaka za IT reviziju) održali su 10. rujna besplatni seminar „Revizija informacijskih sustava: stanje, problemi, izobrazba stručnjaka ”, na kojem je autor ovog teksta uspio posjetiti.

direktor tvrtke"Mikroinform" B.M. Friedman obavijestio je sudionike o početku novog obrazovni program međunarodnu razinu revizije informacijskih sustava od MIS Training Institute.

MIS Training Institute osnovan je 1978. godine. Glavni pravci njegovog djelovanja su izobrazba stručnjaka u području informacijske sigurnosti i revizije informacija. MIS Training Institute nudi oko 90 različitih tečajeva na ovu temu. Korisnici MIS Training Institute su vodeće svjetske kompanije i banke: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson & Johnson, Chase Manhattan Bank i mnoge druge. MIS Training Institute organizator je najvećeg međunarodne konferencije o pitanjima informacijske sigurnosti.

Obrazovni centar Microinform (Certificirani partner i predstavnik u Rusiji MIS Training Institute) po prvi put u Rusiji provodi opsežan međunarodni program za obuku stručnjaka za reviziju informacijskih sustava.

Ovi programi su razvoj suradnje ovih tvrtki koja je započela prošlog ljeta. Certifikacijski programi MIS Training Institute za stručnjake za informacijsku sigurnost, provedeni u Microinformu tijekom 2001.-2002., izazvali su veliko zanimanje vodećih ruskih i stranih tvrtki.

Program IT Audit School odabran je kao pilot program, koji postavlja temelje za profesionalne kvalifikacije međunarodnog revizora. Tečaj je održan u Moskvi od 9. do 13. rujna i privukao je mnogo ljudi, unatoč prilično visokim cijenama (dan obuke - 500 USD). Tečaj je osnovni za revizore informacijskih sustava, a namijenjen je i financijskim revizorima, zaposlenicima službe unutarnje kontrole i revizije, vanjski revizori .

Ovaj intenzivni petodnevni program bavio se sljedećim pitanjima:

• prepoznavanje poslovnih rizika povezanih s informacijskim sustavima (IS) i njihovo minimiziranje;
• pitanja povezana s infrastrukturom IS-a, uključujući hardver i operativne sustave, proces prevođenja i analizu rizika;
• IP kontrolno okruženje ( Sigurnost informacija, organizacija i upravljanje informacijskim sustavima, održavanje i podrška sustavima);
• Potrebno poznavanje baza podataka, distribuiranih sustava, mreža, Interneta i e-trgovine.

Izvješće MIS Training Instituta o reviziji informacijskih sustava

Na seminaru je govorio Fred Roth, vodeći instruktor MIS Training Instituta za reviziju informacijskih sustava. U svom je izvješću g. Roth naveo kratki osvrt stanje ovog problema u svijetu, usredotočio se na glavna područja rada u ovom području, a posebnu pozornost posvetio je pitanjima obuke stručnjaka za reviziju informacijskih sustava u Rusiji.

Pozivajući se na Infoworld IT Security Survey, g. Roth je iznio podatke (slika 1) koji pokazuju da je razvoj IP-a u svijetu značajno otežan zabrinutošću o nedovoljnoj sigurnosti informacijskih tehnologija. Brojke pokazuju da su ispitanici najviše zabrinuti zbog nedostatka sigurnosti povezanih s web uslugama, bežičnim prijenosom informacija i e-trgovinom (B2B i B2C). Sigurnost sustava klase Entrprise Applications (ovdje je riječ prvenstveno o proizvodima kompanija kao što su SAP, People Soft, BAAN) zabrinjava samo 7% ispitanika, a treba naglasiti da prisutnost sličnih sustava značajno pojednostavljuje provođenje IP revizije. Govoreći o povezanosti strahova i stvarnih slučajeva problema koji nastaju u informacijskim sustavima zbog njihove nedovoljne sigurnosti, Fred Roth je iznio relevantne podatke (slika 2). Informacijski sustavi većine tvrtki suočeni su s uvođenjem virusa.

Izvješće gospodina Rotha također je pružilo podatke o planiranim aktivnostima kompanija koje su sudjelovale u Infoworld IT Security Survey za povećanje IP sigurnosti (slika 3). Više od polovice tvrtki povezuje mjere za jačanje sigurnosti svog IP-a s implementacijom virtualnih privatnih mreža, a 37% ispitanika pribjeći će savjetovanju i obuci svojih stručnjaka. Posljednje brojke ukazuju na potencijalno visoku relevantnost revizije IS-a, jer stalna revizija jamči stabilnost funkcioniranja informacijskih sustava.

U izvješću su navedeni osnovni pojmovi revizije intelektualnog vlasništva i načela njezine provedbe. Govornik se usredotočio na pitanja strukture revizije IS-a (slika 4). Problematika financijske revizije i revizije IS-a konvergira u području rješavanja problema optimizacije rada aplikacija IS-a. Osim sigurnosnih pitanja, provođenje revizije IS-a pomoći će u rješavanju niza važnih problema: utvrditi usklađenost postojećeg IS-a s poslovnim ciljevima, izračunati optimalno ulaganje u IS i smanjiti troškove održavanja.

Proces revizije informacijskih sustava može se prikazati u obliku svojevrsne ljestvice (slika 5), ​​gdje se s jedne strane razmatraju sustavi zaštite pristupa, s druge kontrole poslovnih procesa, a tehnička infrastruktura služi kao potpora koja , zauzvrat, temelji se na prihvaćenim metodama autorizacije, konfiguraciji sustava, kao i politikama i procedurama tvrtke.

Glavna područja kontrole tijekom revizije IS-a uključuju proučavanje korporativnih standarda, analizu procesa rada tvrtke, analizu mrežnog dijagrama i mrežnog prometa u različitim segmentima mreže, analizu poslovnih procesa i cijeli niz drugih pitanja (Sl. 6).

Nakon revizije IS-a, korisnik dobiva informacije o izvorima i veličini gubitaka organizacije. Revizija vam omogućuje utvrđivanje učinkovitosti korporativnih standarda, pronalaženje načina za njihovo poboljšanje, procjenu troškova implementacije i održavanja učinkovitijih korporativnih standarda i utvrđivanje učinkovitosti njihove primjene. Ove vam informacije omogućuju određivanje uzroka i izvora kvarova i postavljanje procesa podrške tako da se kvarovi koji se javljaju lako riješe. Na temelju rezultata revizije IS-a mogu se razviti korporativni standardi čijom se implementacijom značajno povećava pouzdanost funkcioniranja informacijskih sustava.

ComputerPress 11"2002

Zašto provoditi reviziju informacijskog sustava?

Sergej Guzik, JetInfo

Definicija i ciljevi revizije

Pojam revizija informacijskog sustava odnosi se na sustavan proces dobivanja i ocjenjivanja objektivnih podataka o trenutnom stanju informacijskog sustava, akcijama i događajima koji se u njemu događaju, utvrđivanje razine njihove usklađenosti s određenim kriterijem i davanje rezultata kupac.
Trenutačno je relevantnost revizije naglo porasla, to je zbog sve veće ovisnosti organizacija o informacijama i IP-u. Tržište je zasićeno hardverom i softverom, mnoge organizacije iz niza razloga (od kojih je najneutralniji zastarjelost opreme i softvera) uviđaju nedostatnost dosad uloženih sredstava u informacijske sustave i traže načine kako to riješiti problem. Mogu biti dva: s jedne strane, to je potpuna zamjena IS-a, što podrazumijeva velika kapitalna ulaganja, s druge strane, modernizacija IS-a. Zadnja opcija za rješavanje ovog problema je jeftinija, ali otvara nove probleme, npr. što zadržati od postojećeg hardvera i softvera, kako osigurati kompatibilnost starih i novih IC elemenata.
Značajniji razlog za provođenje revizije je taj što se pri modernizaciji i uvođenju novih tehnologija ne ostvaruje njihov puni potencijal. IP audit omogućuje postizanje maksimalnog povrata sredstava uloženih u stvaranje i održavanje IP-a.
Osim toga, povećana je ranjivost informacijskog sustava zbog povećane složenosti elemenata ovog informacijskog sustava, povećanja broja linija programskog koda te novih tehnologija za prijenos i pohranu podataka.
Raspon prijetnji je proširen. To je zbog sljedećih razloga:
prijenos informacija putem javnih mreža;
"informacijski rat" konkurentskih organizacija;
Velika fluktuacija osoblja s niskom razinom integriteta.
Prema nekim zapadnim analitičkim agencijama, do 95% pokušaja neovlaštenog pristupa povjerljive informacije nastaje na inicijativu bivših zaposlenika organizacije.
Provođenje revizije omogućit će vam procjenu trenutne sigurnosti funkcioniranja informacijskog sustava, procjenu rizika, predviđanje i upravljanje njihovim utjecajem na poslovne procese organizacije, te ispravno i razumno pristupiti pitanju osiguranja sigurnosti informacijske imovine organizacije, od kojih su glavni:
ideje;
znanje;
projekti;
rezultati internističkih pregleda.
Trenutno mnogi sistemski integratori deklariraju isporuku cjelovitog, cjelovitog rješenja. Nažalost, u najboljem slučaju sve se svodi na dizajn i isporuku hardvera i softvera. Izgradnja informacijske infrastrukture “ostaje iza kulisa” i nije uključena u rješenje.
Napravimo rezervu da se u ovom slučaju informacijska infrastruktura shvaća kao dobro funkcionirajući sustav koji obavlja funkcije održavanja, kontrole, računovodstva, analize i dokumentiranja svih procesa koji se odvijaju u informacijskom sustavu.
Sve češće se sistemskim integratorima, projektantskim organizacijama i dobavljačima opreme postavljaju sljedeća pitanja:
Što je sljedeće? (Prisutnost strateškog plana razvoja organizacije, mjesto i uloga IP-a u tom planu, predviđanje problemskih situacija).
Usklađuje li se naš IP s poslovnim ciljevima? Je li poslovanje postalo privjesak informacijskog sustava?
Kako optimizirati ulaganja u IP?
Što se događa unutar ove "crne kutije" - IP adrese organizacije?
Kvarovi u radu informacijskih sustava, kako prepoznati i lokalizirati probleme?
Kako se rješavaju pitanja sigurnosti i kontrole pristupa?
Izvođači su izvršili dostavu, montažu, puštanje u rad. Kako ocijeniti njihov rad? Postoje li neki nedostaci, ako postoje, koji su?
Kada je potrebno nadograditi hardver i softver? Kako opravdati potrebu za modernizacijom?
Kako instalirati jedinstveni sustav Upravljanje i praćenje IS-a? Koje će pogodnosti pružiti?
Voditelj organizacije, voditelj odjela medicinske i tehničke opreme mora biti u mogućnosti dobiti pouzdane informacije o trenutnom stanju informacijskog sustava u najkraćem mogućem roku. Je li moguće?
Zašto se stalno kupuje dodatna oprema?
Osoblje NICU-a stalno nešto uči, ima li potrebe za tim?
Koje radnje poduzeti u hitnom slučaju?
Koji rizici nastaju pri stavljanju povjerljivih informacija u IP organizacije? Kako minimizirati te rizike?
Kako smanjiti troškove posjedovanja IP-a?
Kako optimalno iskoristiti postojeći IP u razvoju poslovanja?
Na ova i druga slična pitanja nije moguće odgovoriti odmah. Samo sagledavanjem svih problema u cjelini, međusobnih odnosa, uvažavanjem nijansi i nedostataka mogu se dobiti pouzdane, utemeljene informacije.
U tu svrhu konzultantske tvrtke diljem svijeta imaju određenu specifičnu uslugu - Audit informacijskog sustava.

ISACA (Udruga za reviziju i kontrolu informacijskih sustava)

Pristup provođenju revizije intelektualnog vlasništva, kao zasebne neovisne usluge, s vremenom se modernizirao i standardizirao.
Velike i srednje revizorske tvrtke formirale su udruge – sindikate stručnjaka iz područja revizije IP-a koji se bave stvaranjem i održavanjem revizijskih standarda u području informatike. U pravilu su to zatvoreni standardi, pažljivo zaštićeni know-how.
Međutim, postoji udruga pod nazivom ISACA koja je posvećena otvorenoj standardizaciji IP revizije.
Udruga ISACA osnovana je 1969. godine i trenutno okuplja oko 20 tisuća članova iz više od 100 zemalja, uključujući Rusiju. Udruga koordinira aktivnosti više od 12 tisuća revizora informacijskih sustava.
Glavni deklarirani cilj udruge je istraživanje, razvoj, objavljivanje i promicanje standardiziranog skupa dokumenata o upravljanju informacijskom tehnologijom za svakodnevnu upotrebu od strane administratora i revizora informacijskih sustava.
Kao pomoć profesionalnim revizorima, PICU menadžerima, administratorima i zainteresiranim korisnicima, udruga ISACA i angažirani stručnjaci iz vodećih svjetskih konzultantskih tvrtki razvili su CoBiT standard.

CoBiT (kontrolni objekti informacijske tehnologije)

CoBiT - Information Technology Test Objects je otvoreni standard, prvo izdanje, koji se 1996. godine prodavao u 98 zemalja svijeta i olakšao je posao profesionalnim revizorima informacijskih tehnologija.
Norma povezuje informacijske tehnologije i radnje revizora, spaja i usklađuje mnoge druge norme u jedinstveni resurs koji omogućuje autoritativno, na suvremenoj razini, uvid i upravljanje ciljevima i zadacima koje IS rješava. CoBiT uzima u obzir sve značajke informacijskih sustava svih razmjera i složenosti.
Temeljno pravilo na kojem se temelji CoBiT je da resursima IS-a mora upravljati niz prirodno grupiranih procesa kako bi se organizaciji pružile potrebne i pouzdane informacije (Slika 1).

A sada malo pojašnjenja o tome koji se resursi i kriteriji za njihovu procjenu koriste u standardu CoBiT:
Radni resursi - radni resursi ne podrazumijevaju samo zaposlenike organizacije, već i menadžment organizacije i ugovorno osoblje. Pregledavaju se vještine osoblja, razumijevanje zadataka i učinak posla.
Aplikacije su aplikacijski softver koji se koristi u radu organizacije.
Tehnologije - OS, baze podataka, kontrolni sustavi itd.
Oprema - sav hardver IS-a organizacije, uzimajući u obzir njihovo održavanje.
Podaci - podaci u najširem smislu - vanjski i unutarnji, strukturirani i nestrukturirani, grafički, audio, multimedijski itd.
Sve te resurse procjenjuje CoBiT u svakoj fazi izgradnje ili revizije IS-a prema sljedećim kriterijima:
Učinkovitost je kriterij koji određuje relevantnost i usklađenost informacija s poslovnim ciljevima.
Tehnička razina je kriterij za usklađenost sa standardima i uputama.
Sigurnost - zaštita informacija.
Integritet – točnost i potpunost informacija.
Prikladnost - dostupnost informacija potrebnim poslovnim procesima u sadašnjosti i budućnosti. Kao i zaštita potrebnih i povezanih resursa.
Dosljednost je provedba zakona, uputa i dogovora koji utječu na poslovni proces, odnosno vanjskih zahtjeva za poslovanje.
Pouzdanost - dosljednost informacija danih menadžmentu organizacije, provedba odgovarajućeg upravljanja financiranjem i dosljednost radnih odgovornosti.
CoBiT se temelji na revizijskim standardima ISA i ISACF, ali uključuje i druge međunarodne standarde, uključujući uzimanje u obzir prethodno odobrenih standarda i propisa:
tehnički standardi;
kodovi;
IP kriteriji i opisi procesa;
profesionalni standardi;
zahtjevi i preporuke;
zahtjevi za bankarske usluge, sustave e-trgovine i proizvodnju.
Normu su razvili i analizirali zaposlenici relevantnih odjela vodećih konzultantskih tvrtki i koriste je u svom radu zajedno s vlastitim razvojem.
Korištenje standarda CoBiT moguće je i za provođenje revizije IP-a organizacije i za početni dizajn IP-a. Uobičajena verzija izravnih i inverznih problema.
Ako se u prvom slučaju radi o usklađenosti trenutnog stanja IS-a s najboljom praksom sličnih organizacija i poduzeća, onda je u drugom slučaju riječ o inicijalno ispravnom projektu i, kao posljedica toga, po završetku dizajna, IS-u težnja ka idealu.
U budućnosti ćemo razmatrati reviziju IS-a, što znači da je u bilo kojoj fazi moguće riješiti obrnuti problem - projektiranje IS-a.
Unatoč svojoj maloj veličini, programeri su nastojali osigurati da standard bude pragmatičan i da odgovara poslovnim potrebama, a da istovremeno zadrži neovisnost o određenim proizvođačima, tehnologijama i platformama.
Osnovni blok dijagram CoBiT-a prikazuje redoslijed, sastav i odnose osnovnih grupa. Poslovni procesi (na vrhu dijagrama) postavljaju svoje zahtjeve na resurse IS-a, koji se analiziraju pomoću CoBiT kriterija procjene u svim fazama izgradnje i revizije.
Četiri osnovne skupine (domene) sadrže trideset i četiri podskupine, koje se pak sastoje od tri stotine i dva kontrolna objekta. Objekti kontrole daju revizoru sve pouzdane i relevantne informacije o trenutnom stanju IP-a.
Posebnosti CoBiT-a:
1. Veliko područje pokrivanja (svi zadaci od strateškog planiranja i temeljnih dokumenata do analize učinka pojedinačni elementi JE).
2. Unakrsna revizija (preklapanje područja pregleda kritičnih elemenata).
3. Prilagodljiv, skalabilan standard.
Razmotrimo prednosti CoBiT-a nad brojnim zapadnim i ruski razvoj događaja. Prije svega, to je njegova dostatnost - zajedno s mogućnošću relativno jednostavne prilagodbe posebnostima domaćeg IP-a. I, naravno, činjenica da se standard lako skalira i proširuje. CoBiT vam omogućuje korištenje bilo kojeg razvoja od proizvođača hardvera i softvera i analizu dobivenih podataka bez mijenjanja općih pristupa i vlastite strukture.

Praksa revizije IP-a

Prikazano na sl. 2 dijagram toka odražava, iako ne detaljno, ključne točke revizije IS-a. Pogledajmo ih pobliže.
U fazi pripreme i potpisivanja početne dokumentacije za izdavanje dozvola određuju se granice revizije:
Granice audita određene su kritičnim točkama IS-a (elementima IS-a), u kojima se najčešće pojavljuju problemske situacije.
Na temelju rezultata preliminarne revizije cjelokupnog IS-a (u prvoj aproksimaciji) provodi se dubinska revizija identificiranih problema.
Istodobno se stvara revizorski tim i identificiraju odgovorne osobe na strani Kupca. Izrađuje se i usuglašava potrebna dokumentacija.
Zatim se prikupljaju informacije o trenutnom stanju IS-a pomoću CoBiT standarda, čiji kontrolni objekti primaju informacije o svim nijansama funkcioniranja IS-a kao u binarni oblik(Da/Ne), te obrazac detaljnih izvješća. Detaljnost informacija utvrđuje se u fazi izrade početne dozvole. Postoji određeni optimum između troškova (vremena, troškova itd.) dobivanja informacija i njihove važnosti i relevantnosti.
Provođenje analize najkritičniji je dio provođenja revizije IP-a. Korištenje nepouzdanih, zastarjelih podataka u analizi je nedopustivo, stoga je potrebno razjašnjavanje podataka i dubinsko prikupljanje informacija.
Zahtjevi za analizu utvrđuju se u fazi prikupljanja informacija. Metode analize informacija postoje u CoBiT standardu, ali ako nedostaju, nije zabranjeno koristiti ISACA-ovlaštene razvoje drugih tvrtki.
Rezultati analize temelj su za izradu preporuka koje se, nakon prethodnog dogovora s Naručiteljem, moraju provjeriti na izvedivost i relevantnost uzimajući u obzir rizike implementacije.
Praćenje provedbe preporuka važna je faza koja zahtijeva kontinuirano praćenje napretka provedbe preporuka od strane predstavnika konzultantske kuće.
U fazi izrade dodatne dokumentacije provode se radovi usmjereni na izradu dokumenata čiji nedostatak ili nedostaci mogu uzrokovati kvarove u radu informacijskog sustava. Na primjer, zasebno, dubinsko razmatranje pitanja sigurnosti IP-a.
Stalni audit jamči stabilnost funkcioniranja IS-a, stoga je izrada rasporeda naknadnih audita jedan od rezultata profesionalnog audita.

Rezultati revizije

Rezultati revizije IP-a organizacije mogu se podijeliti u tri glavne skupine:
1. Organizacijsko - planiranje, upravljanje, dokumentacijski tijek funkcioniranja IS-a.
2. Tehnički - kvarovi, kvarovi, optimizacija rada elemenata IS-a, kontinuirano održavanje, izgradnja infrastrukture i dr.
3. Metodološki - pristupi rješavanju problemskih situacija, upravljanje i kontrola, opća uređenost i strukturiranost.
Revizija će vam omogućiti da razumno izradite sljedeće dokumente:
Dugoročni plan razvoja IP-a.
IP sigurnosna politika organizacije.
Metodologija rada i finog podešavanja IS-a organizacije.
Plan oporavka IP-a u hitnim slučajevima.

Zahtjevi za dostavu podataka

Udruga ISACA razvila je i usvojila zahtjeve za prezentiranje informacija tijekom revizije. Primjena standarda CoBiT jamči usklađenost s ovim zahtjevima.
Glavni zahtjev je korisnost informacija. Da bi informacije bile korisne, moraju imati određene karakteristike, uključujući:
1. Jasnoća. Informacija treba biti razumljiva korisniku koji ima određenu razinu znanja, što međutim ne znači da složene informacije treba isključiti ako su potrebne.
Relevantnost. Informacija je relevantna ili relevantna ako utječe na odluke korisnika i pomaže im procijeniti prošle, sadašnje, buduće događaje ili potvrditi i ispraviti prošle procjene.
Na relevantnost informacija utječe njihov sadržaj i materijalnost. Informacija je bitna ako bi njezin nedostatak ili pogrešna procjena mogli utjecati na odluku korisnika. Još jedna karakteristika relevantnosti je pravodobnost informacija, što znači da su sve relevantne informacije uključene u izvješće pravovremeno i bez odgode te da je izvješće dostavljeno na vrijeme.
Određeni analog načela primjerenosti u domaćoj praksi može biti zahtjev za potpunim prikazom transakcija za obračunsko razdoblje, iako zahtjev za prikazom svih informacija nije istovjetan zahtjevu za prikazom bitnih informacija.
Vjerodostojnost, pouzdanost. Informacije su pouzdane ako ne sadrže značajne pogreške ili pristrane procjene i istinito odražavaju poslovne aktivnosti. Da bi bile pouzdane, informacije moraju ispunjavati sljedeće karakteristike:
- istinitost;
- neutralnost - informacije ne smiju sadržavati jednostrane ocjene, odnosno informacije se ne smiju davati selektivno radi postizanja određenog rezultata;
- razboritost - spremnost da se uzmu u obzir potencijalni gubici, a ne potencijalni profiti i, kao rezultat toga, stvaranje rezervi. Ovaj pristup je prikladan u stanju nesigurnosti i ne znači stvaranje skrivenih rezervi ili iskrivljavanje informacija;
- dostatnost informacija - uključuje takvu karakteristiku kao što je zahtjev za cjelovitošću informacija, kako u smislu njihove materijalnosti tako i troškova njihove pripreme.

Potreba domaće tržište u ovoj službi

Prilikom procjene potrebe za revizijom IS-a, potrebno je usredotočiti se na sljedeće točke (vidi tablicu 1):
složenost problema koji se rješavaju - stalni porast, kako kvantitativni tako i kvalitativni, problema koje rješava IS;
Razgranatosti IS-a - poteškoće u servisiranju, teritorijalna distribucija;
poslovni izgledi - novi pravci, tržišta, uvjeti rada;
upravljanje organizacijom - sposobnost i želja menadžera da razmišljaju strateški, da vide perspektive koje otvara standardizirani pristup, temeljen na najboljoj praksi.
Tko je zainteresiran za provođenje revizije? Prije svega, to su komercijalne ili proračunske organizacije i poduzeća za opravdanje ulaganja u IS, sistemski integratori, IT tvrtke za procjenu utjecaja IS-a na glavni poslovni proces i proširenje raspona ponuđenih usluga.
Za tvrtke koje obavljaju financijsku reviziju - IP audit, dodatna usluga, što može poboljšati rejting tvrtke na tržištu.
Generalne izvođače zanimat će mogućnost ocjenjivanja rada IT podizvođača.
Također, provođenje revizije IP-a prema standardu CoBiT bit će od interesa za sva poduzeća i organizacije koje imaju ili planiraju stvoriti IP i koje su zainteresirane za dobivanje odgovora na pitanja navedena u uvodu ovog članka.

Tablica 1. Rezultati revizije.