Інформаційні системи обліку та аудиту. Аудит безпеки інформаційних систем. Оцінка впливу інформаційної системи на аудит загалом

Аудит інформаційних системдає актуальні та точні дані про те, як працює ІС. На базі даних можна планувати заходи для підвищення ефективності підприємства. Практика проведення аудиту інформаційної системи - порівняно зразка, реальної обстановки. Вивчають нормативи, стандарти, регламенти та практики, які застосовуються в інших фірмах. Під час проведення аудиту підприємець отримує уявлення у тому, як його фірма відрізняється від нормальної успішної компанії у аналогічній сфері.

Загальне уявлення

Інформаційні технології в сучасному світірозвинені винятково сильно. Важко уявити собі підприємство, яке має на озброєнні інформаційні системи:

• глобальні;
• локальні.

Саме за рахунок ІС компанія може нормально функціонувати та йти в ногу з часом. Такі методології необхідні для швидкого та повного обміну інформацією з довкіллямщо дозволяє компанії підлаштовуватися під зміни інфраструктури та вимог ринку. Інформаційні системи повинні задовольняти низку вимог, що змінюються з часом (впроваджуються нові розробки, стандарти, застосовують оновлені алгоритми). В будь-якому випадку інформаційні технологіїдозволяють зробити доступ до ресурсів швидким, і це завдання вирішується через ІС. Крім того, сучасні системи:

• масштабовані;
• гнучкі;
• надійні;
• безпечні.

Основні завдання аудиту інформаційних систем – виявлення, чи відповідає впроваджена ІС зазначеним параметрам.

Аудит: види

Найчастіше застосовується так званий процесний аудит інформаційної системи. Приклад: зовнішні фахівці аналізують впроваджені системи щодо відмінності від еталонів, вивчаючи у тому числі й виробничий процес, на виході якого - програмне забезпечення.

Може проводитися аудит, спрямований виявлення того, наскільки правильно застосовується у роботі інформаційна система. Практику підприємства порівнюють зі стандартами виробника та відомими прикладами корпорацій міжнародного масштабу.

Аудит системи інформаційної безпеки підприємства торкається організаційної структури. Мета такого заходу – знайти тонкі місця у кадрах ІТ-відділу та позначити проблеми, а також сформувати рекомендації щодо їх вирішення.

Зрештою, аудит системи забезпечення інформаційної безпеки спрямований на якісний контроль. Тоді запрошені експерти оцінюють, у якому стані процеси всередині підприємства, тестують впроваджену інформаційну систему та роблять деякі висновки щодо отриманої інформації. Зазвичай застосовується модель TMMI.

Завдання аудиту

Стратегічний аудит стану інформаційних систем дозволяє визначити слабкі місця у впровадженій ІВ та виявити, де застосування технологій виявилося неефективними. На виході такого процесу замовник матиме рекомендації, що дозволяють усунути недоліки.

Аудит дозволяє оцінити, наскільки дорого обійдеться внесення змін до діючої структури і скільки часу це займе. Фахівці, які вивчають діючу інформаційну структуру компанії, допоможуть підібрати інструментарій для реалізації програми покращень, враховуючи особливості компанії. За підсумками можна також видати точну оцінку, якого обсягу ресурсів потребує фірма. Проаналізовано інтелектуальні, грошові, виробничі.

Заходи

Внутрішній аудит інформаційних систем включає проведення таких заходів, як:

• інвентаризація ІТ;
• виявлення навантаження на інформаційні структури;
• оцінка статистики, даних, одержаних при інвентаризації;
• визначення, чи відповідають вимоги бізнесу та можливості впровадженої ІВ;
• формування звіту;
• розробка рекомендацій;
• формалізація фонду НДІ.

Результат аудиту

Стратегічний аудит стану інформаційних систем – це процедура, яка: дозволяє виявити причини недостатньої ефективності впровадженої інформаційної системи; провести прогнозування поведінки ІС під час коригування інформаційних потоків (числа користувачів, обсягу даних); надати обґрунтовані рішення, що допомагають підвищити продуктивність (придбання обладнання, удосконалення впровадженої системи, заміна); дати рекомендації, створені задля підвищення продуктивності відділів підприємства, оптимізацію вкладень у технології. А також розробити заходи, які покращують якісний рівень сервісу інформаційних систем.

Це важливо!

Немає такої універсальної ІВ, яка б підійшла будь-якому підприємству. Є дві поширені бази, на основі яких можна створювати унікальну систему під вимоги конкретного підприємства:

• Oracle.

Але пам'ятайте, що це лише основа, не більше. Усі удосконалення, що дозволяють зробити бізнес ефективним, потрібно програмувати з огляду на особливості конкретного підприємства. Напевно доведеться вводити функції, що раніше відсутні, і відключати ті, які передбачені базовою збіркою. Сучасна технологіяаудиту банківських інформаційних систем допомагає зрозуміти, які саме особливості повинна мати ІВ, а що потрібно виключити, щоб корпоративна система була оптимальною, ефективною, але не надто «важкою».

Аудит інформаційної безпеки

Аналіз, що дозволяє виявити загрози інформаційній безпеці, буває двох видів:

• зовнішній;
• внутрішній.

Перший передбачає одноразову процедуру. Організовує її керівник компанії. Рекомендовано регулярно практикувати такий захід, щоб утримувати ситуацію під контролем. Ряд АТ, фінансових організацій запровадили вимогу зовнішнього аудиту ІТ-безпеки обов'язковою до виконання.

Внутрішній - це заходи, що регулярно проводяться, регламентовані локальним нормативним актом «Положення про внутрішній аудит». Для проведення формують річний план (його готує відділ відповідальний за аудит), стверджує генеральний директор, інший керівник. ІТ-аудит - кілька категорій заходів, аудит безпеки займає не останнє місце за значимістю.

Цілі

Головна мета аудиту інформаційних систем в аспекті безпеки - це виявлення ризиків, пов'язаних з ІС, що пов'язані з загрозами безпеці. Крім того, заходи допомагають виявити:

• слабкі місця чинної системи;
• відповідність системи стандартам інформаційної безпеки;
• рівень безпеки на поточний момент часу.

При аудиті безпеки в результаті будуть сформульовані рекомендації, що дозволяють покращити поточні рішення та впровадити нові, зробивши тим самим діючу ІС безпечніше та захищені від різних загроз.

Якщо проводиться внутрішній аудит, покликаний визначити загрози інформаційної безпеки, додатково розглядається:

• політика безпеки, можливість розробки нової та інших документів, що дозволяють захистити дані та спростити їх застосування у виробничому процесі корпорації;
• формування завдань забезпечення безпеки працівникам ІТ-відділу;
• розбір ситуацій, пов'язаних із порушеннями;
• навчання користувачів корпоративної системиобслуговуючого персоналу загальним аспектам безпеки.

Внутрішній аудит: особливості

Перелічені завдання, які ставлять перед співробітниками, коли проводиться внутрішній аудит інформаційних систем, власне, не аудит. Теоретично проводить заходи лише як експерт оцінює механізми, завдяки яким система убезпечена. Залучена до завдання особа стає активним учасником процесу і втрачає незалежність, що вже не може об'єктивно оцінювати ситуацію та контролювати її.

З іншого боку, практично при внутрішньому аудиті залишитися осторонь практично неможливо. Справа в тому, що для проведення робіт залучають спеціаліста компанії, в інший час зайнятого іншими завданнями у подібній галузі. Це означає, що аудитор - це той самий співробітник, який має компетенцію для вирішення згаданих раніше завдань. Тому доводиться йти на компроміс: на шкоду об'єктивності залучати працівника до практики, щоб отримати гідний результат.

Аудит безпеки: етапи

Такі багато в чому подібні до кроків загального ІТ-аудиту. Виділяють:

• старт заходів;
• збирання бази для аналізування;
• аналіз;
• формування висновків;
• звітність.

Ініціювання процедури

Аудит інформаційних систем в аспекті безпеки починається, коли на це дає відмашку керівник компанії, тому що саме начальники - ті персони, які більше зацікавлені в ефективній перевірці підприємства. Проведення аудиту неможливе, якщо керівництво не підтримує процедуру.

Аудит інформаційних систем зазвичай є комплексним. У ньому бере участь аудитор та кілька осіб, які представляють різні відділи компанії. Важливою є спільна робота всіх учасників перевірки. При ініціації аудиту важливо приділити увагу наступним моментам:

• документальна фіксація обов'язків, прав аудитора;
• підготовка, узгодження плану аудиту;
• документальне закріплення того факту, що співробітники зобов'язані надавати аудитору посильну допомогу і надавати всі запитані дані.

Вже під час ініціації перевірки важливо встановити, у яких межах проводиться аудит інформаційних систем. У той час як деякі підсистеми ІВ критичні і вимагають особливої ​​уваги, інші такими не є і незначні, тому допускається їх виключення. Напевно, знайдуться і такі підсистеми, перевірка яких буде неможлива, тому що вся інформація, яка там зберігається, конфіденційна.

План та кордони

Перед початком робіт формується перелік ресурсів, які передбачається перевірити. Це можуть бути:

• інформаційні;
• програмні;
• технічні.

Виділяють, на яких майданчиках проводять аудит, які загрози перевіряють систему. Існують організаційні межі заходу, аспекти забезпечення безпеки, обов'язкові для обліку під час перевірки. Формується рейтинг пріоритетності із зазначенням обсягу перевірки. Такі межі, а також план заходу затверджуються генеральним директором, але попередньо виносяться темою загальних робочих зборів, де присутні начальники відділів, аудитор та керівники компанії.

Отримання даних

Під час проведення перевірки безпеки стандарти аудиту інформаційних систем такі, що етап збирання інформації виявляється найтривалішим, трудомістким. Як правило, ІС немає документації до неї, а аудитор змушений щільно працювати з численними колегами.

Щоб зроблені висновки виявилися компетентними, аудитор має отримати максимум даних. Про те, як організована інформаційна система, як вона функціонує і в якому стані перебуває, аудитор дізнається з організаційної, розпорядчої, технічної документації під час самостійного дослідження та застосування спеціалізованого ПЗ.

Документи, необхідні у роботі аудитора:

• організаційна структура відділів, які обслуговують ІВ;
• Організаційна структура всіх користувачів.

Аудитор інтерв'ює працівників, виявляючи:

• провайдера;
• власника даних;
• користувача даних.

Для цього потрібно знати:

• основні види додатків ІВ;
• число, види користувачів;
• послуги, що надаються користувачам.

Якщо у фірмі є документи на ІВ із перерахованого нижче списку, обов'язково потрібно надати їх аудитору:

• опис технічних методологій;
• опис методик автоматизації функцій;
• функціональні схеми;
• робітники, проектні документи.

Виявлення структури ІВ

Для коректних висновків аудитор повинен мати максимально повне уявлення про особливості впровадженої на підприємстві інформаційної системи. Потрібно знати, якими є механізми безпеки, як вони розподілені в системі за рівнями. Для цього з'ясовують:

• наявність та особливості компонентів використовуваної системи;
• функції компонентів;
• графічність;
• входи;
• взаємодія з різними об'єктами (зовнішнє, внутрішнє) та протоколи, канали для цього;
• платформи, використані для системи.

Користь принесуть схеми:

• структурна;
• потоків даних.

Структури:

• технічних засобів;
• інформаційного забезпечення;
• структурні компоненти.

Насправді багато хто з документів готують безпосередньо під час проведення перевірки. Аналізувати інформацію можна лише за зборі максимального обсягу інформації.

Аудит безпеки ІВ: аналіз

Є кілька методик, що застосовуються для аналізу даних. Вибір на користь конкретної ґрунтується на особистих уподобаннях аудитора та специфіці конкретної задачі.

Найбільш складний підхід передбачає аналіз ризиків. Для інформаційної системи формуються вимоги до безпеки. Вони базуються на особливостях конкретної системи та середовища її роботи, а також загроз, властивих цьому середовищу. Аналітики сходяться на думці, що такий підхід потребує найбільших трудовитрат і максимальної кваліфікації аудитора. Наскільки гарним буде результат, визначається методологією аналізу інформації та застосовністю обраних варіантів до типу ІС.

Більш практичний варіант передбачає звернення до стандартів безпеки даних. Такими визначається набір вимог. Це підходить для різних ІС, оскільки методика вироблена на основі найбільших фірм із різних країн.

Зі стандартів випливає, які вимоги безпеки, що залежать від рівня захисту системи та належності її тій чи іншій установі. Багато залежить від призначення ІВ. Головне завдання аудитора – визначити коректно, який набір вимог щодо безпеки актуальний у заданому випадку. Вибирають методику, за якою оцінюють, чи відповідають стандартам наявні параметри системи. Технологія досить проста, надійна, тому поширена широко. При невеликих вкладеннях можна отримати точні висновки.

Нехтувати неприпустимо!

Практика показує, що багато керівників, особливо невеликих фірм, а також ті, чиї компанії працюють вже досить давно і не прагнуть освоювати все новітні технології, ставляться до аудиту інформаційних систем досить недбало, оскільки просто усвідомлюють важливості цього заходу. Зазвичай лише збитки бізнесу провокує начальство вживати заходів щодо перевірки, виявлення ризиків та захисту підприємства. Інші стикаються з тим, що в них крадуть дані про клієнтуру, в інших витоку походять з баз даних контрагентів або йде інформація про ключові переваги якогось суб'єкта. Споживачі перестають довіряти компанії, як тільки випадок наголошується, і компанія зазнає ще більшої шкоди, ніж просто від втрати даних.

Якщо є можливість витоку інформації, неможливо побудувати ефективний бізнес, що має хороші можливостізараз і в майбутньому. Будь-яка компанія має дані, що становлять цінність для третіх осіб, і їх потрібно берегти. Щоб захист був на найвищому рівні, необхідний аудит, який виявляє слабкі сторони. У ньому необхідно враховувати міжнародні стандарти, методики, нові напрацювання.

При аудиті:

• оцінюють рівень захисту;
• аналізують застосовувані технології;
• коригують документи з безпеки;
• моделюють ризикові ситуації, при яких можливий витік даних;
• рекомендують використання рішень для усунення вразливостей.

Проводять ці заходи одним із трьох образів:

• активний;
• експертний;
• виявляє відповідність стандартам.

Форми аудиту

Активний аудит передбачає оцінку системи, яку дивиться потенційний хакер. Саме його думку «приміряють» він аудитори - вивчають мережевий захист, навіщо застосовують спеціалізоване ПЗ і унікальні методики. Обов'язковий і внутрішній аудит, що проводиться також з погляду передбачуваного злочинця, який бажає вкрасти дані або порушити роботу системи.

При експертному аудиті перевіряють, наскільки вдосконалена система ідеальна. При виявленні відповідності стандартам за основу беруть абстрактний опис стандартів, із якими порівнюють наявний об'єкт.

Висновок

Коректно та якісно проведений аудит дозволяє отримати наступні підсумки:

• мінімізація ймовірності успішної хакерської атаки, Збитки від неї;
• виключення атаки, заснованої на зміні архітектури системи та інформаційних потоків;
• страхування як зменшення ризиків;
• мінімізація ризику рівня, коли такий зовсім не враховувати.

Сьогодні багатьох керівників не влаштовує рівень автоматизації, який склався на підприємстві. Фізично та морально застарілі інформаційні системи (ІВ), "клаптева" автоматизація окремих процесів вже не в змозі забезпечити керівний склад оперативною та достовірною інформацією, такою необхідною для прийняття обґрунтованих та своєчасних управлінських рішень.

Недосконалість системи управління призводить до зниження прибутковості роботи підприємства, нестійкого стану на ринку товарів та послуг.

Повернення до проблем комплексної автоматизації підприємств викликане зацікавленістю керівництва підприємств у створенні ефективної структури управління, а цій справі важливу роль відіграє інформаційне забезпечення. Тому знову на порядку денному постало питання створення корпоративних інформаційних систем.

Але навіть за успішних впроваджень керівництво підприємств не завжди отримує потрібний ефект. Успіх проекту автоматизації означає автоматичного отримання істотної користі від нього. Навіть якщо цілей проекту досягнуто, вони можуть не відповідати поточним вимогам виробництва. Таке трапляється дуже часто.

Провалені проекти автоматизації, колосальні втрати часу та коштів – цю картину можна спостерігати на великих підприємствах. Чому таке відбувається? Чому не рятують ні високі технології, ні продукти, ні авторитет відомих фірм? Чому провали є і готові пакети, і рекомендовані інформаційні системи? Чому підприємства не можуть звільнитися від "клаптевої" автоматизації?

Практика створення систем за моделлю "як є" показала, що автоматизація без модернізації існуючої системи управління не приносить бажаних результатів. Адже використання в роботі програмних додатків – це не просто скорочення паперових документів та рутинних операцій, а й перехід на нові форми ведення документообігу, обліку та звітності.

Не виправдовує себе і "клаптева" автоматизація окремих робочих місць рядових виконавців. Керівник у результаті отримує дані, підготовлені вручну.

Існує ілюзія, що автоматизувати підприємство можна "малою кров'ю", використовуючи своїх співробітників, які й так отримують зарплату.

АВТОМАТИЗАЦІЯ підприємства - створення деякого допоміжного виробництва, яке спрощує прийняття рішень керівництвом підприємства.

Практика показує, що у сфері автоматизації, як і у сфері аудиту, залучення фахівців з боку економічно виправдане та ефективніше.

Співробітник, що розробляє систему, надовго відірваний від своїх прямих обов'язків з експлуатації програм, що вже функціонують, проект може провалитися через догляд провідних фахівців. Розробка інформаційної системи силами самого підприємства може затягтися роками, не приносячи реальної користі вищому керівництву.

Розглядаючи проблему ефективності інформаційних систем із позицій системного аналізу, можна виділити основні критерії оцінки ефективності:

1. Вибір ресурсів. При виборі інформаційної системи необхідно виходити з того, що використання будь-якого ресурсу є доцільним лише тоді, коли воно дає позитивний ефект.
2. Динаміка. Слід враховувати фактор часу, важливо вибрати ті технології, які використовуватимуться тривалий час.
3. Етапність. Інформаційний проект слід запроваджувати та оцінювати поетапно, щоб кожен крок приносив конкретну вигоду підприємству.

Висновок: починати потрібно не з вибору програми, а з оцінки потреб та можливостей підприємства, з передпроектного обстеження та створення технічного проекту. Ці заходи допоможуть визначити, де вкладення інформаційні системи можуть забезпечити найбільшу вигоду.

Навіщо проводити аудит інформаційних систем?

Під терміном аудит Інформаційної Системи розуміється системний процесотримання та оцінки об'єктивних даних про поточний стан ІС, дії та події, що відбуваються в ній, що встановлює рівень їх відповідності певному критерію та надає результати замовнику.

В даний час актуальність аудиту різко зросла, це пов'язано із збільшенням залежності організацій від інформації та ІВ. Білоруський ринок насичений апаратно-програмним забезпеченням, багато організацій через ряд причин (найбільш нейтральна з яких -моральне старіння обладнання та програмного забезпечення) бачать неадекватність раніше вкладених коштів в інформаційні системи та шукають шляхи вирішення цієї проблеми. Їх може бути два: з одного боку, це повна заміна ІВ, що спричиняє великі капіталовкладення, з іншого - модернізація ІВ. Останній варіант вирішення цієї проблеми - менш дорогий, але відкриває нові проблеми, наприклад, що залишити з апаратно- програмних засобів, як забезпечити сумісність старих та нових елементів ІС.

Крім того, зросла вразливість ІВ за рахунок підвищення складності елементів цієї ІВ, збільшення рядків коду програмного забезпечення, нових технологій передачі та зберігання даних.

Спектр погроз розширився. Це зумовлено такими причинами:

• передача інформації мережами загального користування;
• "інформаційна війнаконкуруючих організацій;
• висока (типова для Росії та Білорусі) плинність кадрів з низьким рівнемпорядності.

За даними деяких західних аналітичних агентств, до 95% спроб несанкціонованого доступу до конфіденційної інформації відбувається з ініціативи колишніх працівників організації.

Все частіше і частіше у клієнтів до системних інтеграторів, проектних організацій, постачальників обладнання виникають такі питання:

1. Що далі? (Наявність стратегічного плану розвитку організації, місце та роль ІВ у цьому плані, прогнозування проблемних ситуацій.)
2. Чи відповідає наша ІС цілям та завданням бізнесу? Чи не перетворився бізнес на придаток інформаційної системи?
3. Збої в роботі ІВ, як виявити та локалізувати проблеми?
4. Як вирішуються питання безпеки та контролю доступу?
5. Підрядні організації провели постачання, монтаж, пуско-налагодження. Як оцінити їхню роботу? Чи є недоліки, якщо є, то які?
6. Коли необхідно провести модернізацію обладнання та ПЗ?
7. Чому постійно проводиться закупівля додаткового обладнання?
8. Співробітники відділу ОАСУ постійно навчаються чомусь, чи є в цьому необхідність?
9. Які дії робити у разі виникнення позаштатної ситуації?
10. Які ризики при розміщенні конфіденційної інформації в ІС організації? Як мінімізувати ці ризики?
11. Як знизити вартість володіння ІВ?
12. Як оптимально використовувати ІС, що склалася, при розвитку бізнесу?

На ці та інші подібні питання не можна миттєво дати однозначну відповідь. Тільки розглядаючи всі проблеми в цілому, взаємозв'язки між ними, враховуючи нюанси та недоліки, можна отримати достовірну, обґрунтовану інформацію. Для цього у консалтингових компаніях у всьому світі існує певна специфічна послуга – аудит Інформаційної Системи.

Заради безпеки...

Як театр починається з вішалки, і практично будь-яка організація починається з охорони. Десь обходяться відставним військовим, які записують прізвища відвідувачів у зошит, десь - хитромудрими системами безпеки, через які й миша не проскочить - хоча б тому, що вона не має картки доступу.

Але співробітники служби охорони забезпечують лише фізичну безпеку, тоді як набагато більше ресурсівдоводиться витрачати на інформаційну безпеку. Масштаби цього завдання можуть широко варіювати в залежності від цінності інформації, що міститься всередині організації. Комусь потрібно просто захиститися від "початківців", а комусь - уберегтися від промислового шпигунства з боку конкурентів.

Щоб переконатися в ефективності існуючої або створюваної системи інформаційної безпеки, краще звернутися до аудитора ІС.

Фахівці нерідко підкреслюють, що аудит - це лише перевірка системи на відповідність будь-яким вимогам - стандартам, нормативним документам і т. д. Більш детальну і глибоку перевірку вони вважають за краще називати обстеженням. Це більш складна робота, яка включає аналіз інформаційних потоків, бізнес-процесів, аналіз адекватності систем захисту інформації, критичності інформації... Тобто це - глибокий аналіз з прив'язкою до конкретної організації.

Однак ми для простоти називатимемо і це аудитом ІС.

Коли доцільно вдаватися до аудиту системи інформаційної безпеки?

• До початку розробки системи інформаційної безпеки – щоб знати поточний стан та розуміти, що робити.

Нові інформаційні технології останніми роками починають застосовуватися в аудиторській діяльності. Комп'ютер стає інструментом аудитора, що дозволяє йому не тільки скоротити час та кошти для проведення аудиту, а й провести більш детальну перевірку та скласти якісний аудиторський висновок з рекомендаціями щодо стратегії, напрямів та засобів покращення фінансово-господарського становища підприємства.

Автоматизація бухгалтерського обліку та інших управлінських функцій підприємства, з одного боку, та автоматизація аудиту, з іншого, докорінно змінюють проведення аудиту на конкретному об'єкті. Стали розрізняти аудит поза комп'ютерним середовищем, тобто. на об'єкті з традиційною технологією ручного ведення обліку та аудит у комп'ютерному середовищі – на об'єкті, де бухгалтерський облік виконується з використанням комп'ютерів. Сам аудит може проводитися без використання комп'ютерів і з їх допомогою.

Проведення аудиту в комп'ютерному середовищі має низку відмінностей, які з особливостей комп'ютерної обробки даних. Основні засади самого аудиту тут не змінюються. Зберігаються цілі, завдання, діють загальноприйняті стандарти. У той же час міжнародні нормативи аудиту вимагають від аудитора, який проводить перевірку в комп'ютерному середовищі, мати уявлення про технічне та програмне забезпечення комп'ютерів, а також про системи обробки даних.

Аудитор повинен враховувати особливості організації та ведення комп'ютерного обліку. Він повинен врахувати, що дані зберігаються в базах даних, що база даних бухгалтерських проводок є основою для отримання на запит будь-якого облікового регістру та в будь-якій послідовності. База даних у комп'ютерних системах обліку може бути децентралізована, частково чи повністю централізована. У розрахованому на багато користувачів режимі по-різному реалізується інтеграція даних для складання звітності. Ряд операцій, таких як нарахування відсотків, закриття рахунків, визначення фінансового результату, може ініціюватися комп'ютером і, отже, за ними відсутні будь-які документи, що їх санкціонують. Помилка, закладена в алгоритм розрахунку і застосована багаторазово до господарських операцій, що повторюються, може спотворити результат господарської діяльності. Баланс, наприклад, може сходитися в рублях і не сходитися в тисячах рублів через помилку округлення. У системах комп'ютерного обліку, як правило, закладено контроль процедур введення, обробки та виведення даних. Комп'ютерні системибільш відкриті для доступу до даних, тому в кожній з них чітко розмежовуються повноваження та права доступу до інформації, а також запроваджено систему захисту та контролю від несанкціонованого доступу.

Тільки перерахування цих, далеко ще не повних особливостей автоматизованого ведення обліку, підкреслює, що у першому етапі будь-якої аудиторської перевірки важливе місце має бути відведено вивченню системи комп'ютерного обліку, оскільки вона грає основну роль здійсненні контрольних функций. При цьому слід вивчити рівень автоматизації кожного із завдань бухгалтерського обліку, методи обробки даних, доступність даних, визначення місць найбільш ймовірного виникнення помилок та розглянути процедури їх виявлення та усунення.

Аудитор повинен визначити слабкі місця контролю системи комп'ютерного обліку. Слід розглянути як апаратні, і програмні засоби контролю. У розрахованих на багато користувачів мережевих системахоб'єктом уваги має бути контроль передачі, засоби контролю доступу до даних. Така пильну увагу аудитора до питань контролю у комп'ютерному середовищі пояснюється тим, що він не в змозі проконтролювати всі аспекти діяльності організації і тому частина завдань може бути покладена на внутрішньофірмовий контроль. Однак для цього слід оцінити ризик неефективності системи внутрішнього контролю та визначити загальний ризик аудиторської перевірки. Лише після цього аудитор може встановити набір і глибину аудиторських процедур, які потрібно виконати на об'єкті, що перевіряється.

Аудиторська перевірка, як було сказано вище, може бути виконана без комп'ютера та з його використанням. Аудиторські інструменти в останньому варіанті поділяються на аудиторські програми та перевірочні дані, які вводяться в систему обробки з метою зіставлення отриманих даних із попередньо встановленими.

Список завдань виконуваних аудиторськими програмами досить широкий. Вони виконують перевірку та аналіз записів на основі критеріїв їх якості, повноти, спроможності та правильності; тестують виконання розрахунків; зіставляють дані різних файлів з метою виявлення непорівнянних даних; під час проведення вибіркового аудиту з допомогою можна отримати представницьку вибірку; вони незамінні як спосіб доступу до даних, що зберігаються тільки в машинній формі, дозволяють швидко проводити впорядкування, групування, переформатування даних.

Програмне забезпечення для проведення аудиторських перевірок представлено двома видами програм: пакетні та цільові програми. Пакетні програми – це комплекс програм загального призначення, що забезпечують виконання широкого спектра функцій обробки та аналізу даних, включаючи підготовку та друк звітів. За допомогою програм пакета можна створити імітаційну модель обробки даних, здатну реагувати на всі передбачені аудитором варіанти помилок. Цільові програмискладаються до виконання аудиторських завдань у певних ситуаціях. Ці програми готуються аудиторами чи організацією-клієнтом за погодженням з аудиторською фірмою.

Оскільки досить часто проводиться вибірковий аудит, то аудиторських програмах реалізуються статистичні методи. Функції регресійного аналізу, аналізу часових рядів, згладжування введені в табличні процесори(Excel, Lotus 1-2-3 та ін.) і саме це зробило їх такими популярними серед аудиторів. Проте за проведення досить складних розрахунків аудиторами використовуються спеціалізовані статистичні пакети загального призначення. Вони реалізують набір різних статистичних методів, дозволяють виконувати обмін із найбільш поширеними СУБД, мають можливість графічного уявленняданих, зручний для користувача інтерфейс. В даний час найбільш популярні з них Mathematics, Statistics, Quick, Statgraphics.

Для зовнішнього та внутрішнього аудиту досить широко використовуються системи автоматизації фінансового аналізу.

В аудиті використовуються також текстові редактори, довідково-правові бази даних, програми управління електронним документообігом, бухгалтерські програми та їх окремі модулі

Нині деякими аудиторськими фірмами розробляються спеціальні інформаційні системи, орієнтовані внутрішню регламентацію аудиторську діяльність із застосуванням внутрішньофірмових стандартів. Розглянемо їх можливості з прикладу системи " Помічник Аудитора " , розробленої фірмою " Сервіс-Аудит " .

Система "Ассистент Аудитора" фірми "Сервіс-Аудит". Дана розробка є професійною інформаційно-довідковою системою, що інтегрується в інформаційно-пошукову систему (ІПС) "Кодекс". Вона призначена для аудиторських фірм, приватних аудиторів, а також фірм і підприємств, які прагнуть підвищити ефективність роботи служб внутрішнього аудиту та фінансово-економічних служб. За рахунок інтеграції в ІПС "Кодекс", "Асистент Аудитора" дозволяє проводити пошук необхідних матеріалів усіма можливими методами, які в ній реалізовано (тематичний пошук, контекстний пошук, пошук за найменуванням, видом та типом документа тощо).

Система "Асистент аудитора" дозволяє систематизувати виконання аудиторських процедур, починаючи з попереднього вивчення клієнта та закінчуючи оформленням аудиторського висновку, сформувати ряд робочих документів, необхідних для документування аудиту, що дозволяє здійснювати ефективний контроль якості аудиторських перевірок, а також забезпечити аудитора (бухгалтера, економіста) довідковим матеріалом з широкого спектру питань бухгалтерського обліку, оподаткування та фінансового аналізу.

Система складається із чотирьох умовно незалежних тематичних розділів.

Розділ "Плани та програми аудиту" містить бланки документів, які слід формувати до того, як підписано договір на проведення аудиту, зразки договорів на різні види аудиторських послуг, бланки та зразки документів, що формуються на етапі планування аудиторської перевірки та складання програми аудиту, а також методичні матеріали, які можна використовувати розробки внутрішньофірмових стандартів аудиторської фірми. Анкети-вопросники, які входять у цей розділ, можуть використовуватися як аудиторськими фірмами. Використовуючи їх, служби внутрішнього аудиту чи фінансово-економічні служби підприємства можуть провести тестування системи внутрішнього контролю та організації бухгалтерського обліку.

Розділ "Робочі документи аудитора" містить анкети-запитувачі з різних ділянок бухгалтерського обліку. Вони покликані допомогти при виконанні аудиторських процедур та тестуванні окремих розділів бухгалтерського обліку на підприємстві. Також до цього розділу включено методичні матеріали, покликані допомогти у підготовці та оформленні висновків за підсумками аудиторської перевірки.

Розділ "Консультант аудитора" містить довідкові таблиці з питань бухгалтерського обліку, оподаткування, фінансового аналізу діяльності підприємств, а також оформлені у вигляді таблиць нормативи, ставки, індекси, які використовуються для розрахунків показників окремих господарських операцій, сум податків.

Розділ "Основні нормативні документи" має довідковий характер і включає основні законодавчі та нормативні відомчі акти, що регулюють аудиторську діяльність та порядок ведення бухгалтерського обліку.

Бази даних системи "Ассистент Аудитора" є набір аудиторських процедур, оформлених як анкет-запитувачів, бланків, робочих карт, методик, довідкових таблиць. Більшість документів, включених до баз даних, є оригінальними авторськими розробками, створеними фахівцями з великим практичним досвідом аудиту. Інформаційні ресурсиІС "Ассистент Аудитора" постійно поповнюються, оновлюються, актуалізуються відповідно до змін у законодавчій та нормативній базі з аудиту та бухгалтерського обліку.

Запитання для самоконтролю

1. Розкрийте відокремленість проведення аудиту серед комп'ютерного ведення бухгалтерського обліку.

2. Як підрозділяються аудиторські інструменти під час проведення аудиторських перевірок з допомогою програмних средств?

3. Перерахуйте деякі із завдань, які можуть бути виконані аудиторськими програмами.

4. Які види програм застосовуються під час проведення аудиторських перевірок?

5. Наведіть приклад спеціалізованої системи автоматизації аудиту та дайте її характеристику.

Що таке аудит інформаційних систем

удит інформаційних систем - термін для нас порівняно новий. Тому, перш ніж звернутися до цього поняття, згадаємо визначення традиційніших видів аудиту. При слові «аудит» ми передусім перевіримо фінансову діяльність компаній аудитором. Розрізняють приватний аудит та аудит за законом. Приватний аудит проводиться на запит, тобто будь-яка фірма може запросити приватного аудитора для перевірки своєї фінансової діяльності. Аудит за законом – це юридично обґрунтований захід. Наприклад, банк, який видає кредит будь-якій фірмі, може вимагати звіту незалежного аудитора про фінансовий стан цієї фірми. Серед найпоширеніших видів аудиту – банківський аудит, тобто комплексна перевірка чи експертиза результатів фінансово-господарської діяльності банків.

Останнім часом функції аудиту все більше виходять за межі перевірки фінансової діяльності компанії. До обов'язків зовнішніх аудиторів входять нові види експертизи. Наприклад, операційний аудит передбачає консультування компанії з питань управління, оцінку ефективності маркетингу, оцінку укладених договорів з погляду юридичних вимог тощо.

Сьогодні жодне виробництво, жодна компанія не обходиться без інформаційної системи, причому об'єктом і результатом праці всього колективу співробітників фірм різного профілю стає інформація. Будь-яка компанія щодня виробляє безліч різноманітної інформації. Для ефективного використання інформації в організації мають бути запроваджені корпоративні стандарти оформлення документів, системи колективної роботи, системи документообігу та ін. Відповідь на питання, наскільки грамотно сплановано всі ланки цієї роботи, і має дати аудит інформаційної системи.

Інформаційні системи стоять великих грошейАле спроби заощадити на грамотному проектуванні інформаційних систем призводять до фатальних результатів.

За даними Gartner Group, середня компанія втрачає 2-3% прибутку протягом 10 днів після збою в роботі ІВ. На повне відновлення збою мережі витрачається 4,8 дні, після чого компанія виходить на колишній рівень рентабельності. Однак 50% компаній, які не змогли відновити функціональність протягом цих 10 днів, ніколи не виходять на колишній рівень рентабельності, а 93% компаній, що ігнорують плани швидкого відновлення та резервування даних, протягом 5 років припиняють своє існування.

Відсутність стандартів побудови та довгострокових планів розвитку ІС загрожує багатьом підприємствам величезними фінансовими втратами. ІС потребує високопрофесійних фахівців, але вузька спеціалізація, у свою чергу, породжує проблеми. Більшість із них виникає саме на стику технічних та управлінських аспектів. Аудит інформаційних систем таки спрямований на пошук вузьких місць, можливих збоїв у роботі ІВ, а головне - на з'ясування причин виникнення цих збоїв.

Таким чином, аудит ІС – це комплексний процесаналізу даних про поточний стан інформаційної системи підприємства, про дії та події, що відбуваються в ній, який встановлює рівень їх відповідності певному критерію. Цей процес завершується наданням звітів, що відображають повну картину ІС керівництва.

Аудит інформаційних систем у Росії

роблематика аудиту інформаційних систем останнім часом все частіше є предметом обговорення не лише фахівців з інформаційних технологій, а й широкого кола управлінців, а також клієнтів великих компаній. Особливо гостро проблема оптимізації ІС стоїть у Росії, де багато інформаційних систем розвивалися стихійно.

Збої інформаційної системи виникають у найнапруженіші, отже, й у найвідповідальніші моменти. Нині питання аудиту інформаційних систем - це питання довіри тій чи іншій компанії. Від того, наскільки надійно побудована в компанії інформаційна система, залежить її привабливість для потенційних клієнтів.

У Росії практично немає фахівців у галузі аудиту ІВ, а послуги західних компаній дуже дорогі. Заповнити цей пробіл на російському ринкувзялася компанія "Мікроінформ", яка з вересня цього року почала проводити курси в галузі аудиту інформаційних систем. Для того щоб ознайомити широку громадськість та журналістів з даною діяльністю, 10 вересня «Мікроінформ» та MIS Training Institute (світовий лідер у галузі підготовки фахівців з IT-аудиту) провели безкоштовний семінар «Аудит інформаційних систем: стан, проблеми, підготовка фахівців», якому вдалося побувати автору цієї статті.

Генеральний директор"Мікроінформ" Б.М.Фрідман проінформував учасників про старт у Росії нової освітньої програми міжнародного рівня з аудиту інформаційних систем від MIS Training Institute.

Компанія MIS Training Institute створена у 1978 році. Основні напрямки її діяльності - підготовка фахівців у галузі інформаційної безпеки та інформаційного аудиту. На цю тематику MIS Training Institute пропонує близько 90 різних курсів. Замовниками MIS Training Institute є провідні світові компанії та банки: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson & Johnson, Chase Manhattan Bank та багато інших. MIS Training Institute є організатором найбільших міжнародних конференційз проблем інформаційної безпеки.

Навчальний центр«Мікроінформ» (Сертифікований Партнер та представник у Росії MIS Training Institute) вперше проводить у Росії комплексну програму міжнародного рівня з підготовки фахівців аудиту інформаційних систем.

Дані програми є розвитком співробітництва цих компаній, розпочатого влітку минулого року. Проведені протягом 2001-2002 років у «Мікроінформ» сертифікаційні програми MIS Training Institute для фахівців з інформаційної безпеки викликали великий інтерес у провідних російських та іноземних компаній.

Як пілотна була обрана програма IT Audit School (Школа аудиту інформаційних систем), яка закладає основу професійної кваліфікації аудитора міжнародного рівня. Курс проводився в Москві 9-13 вересня і зібрав багато охочих, незважаючи на досить високі ціни (день навчання - 500 дол.). Курс є базовим для аудиторів інформаційних систем, а також призначений для фінансових аудиторів, співробітників служб внутрішнього контролю та аудиту, зовнішніх аудиторів .

У ході цієї інтенсивної п'ятиденної програми розглядалися такі питання:

• ідентифікація бізнес-ризиків, пов'язаних з інформаційними системами (ІВ), та їх мінімізація;
• питання, що стосуються інфраструктури ІС, включаючи апаратні засоби та операційні системи, процес трансляції та аналіз ризиків;
• середовище контролю ІВ ( інформаційна безпека, організація та управління ІВ, супровід та підтримка систем);
• необхідні знання про бази даних, розподілені системи, мережі, Інтернет та електронну комерцію.

Доповідь MIS Training Institute з питань аудиту інформаційних систем

а семінарі виступив Фред Рот – провідний інструктор MIS Training Institute з тематики аудиту інформаційних систем. У своїй доповіді пан Рот навів короткий оглядстану даної проблеми у світі, зупинився на основних напрямках робіт у цій галузі, приділив особливу увагу питанням підготовки фахівців з аудиту інформаційних систем у Росії.

З посиланням на опитування Infoworld IT Security Survey пан Рот навів дані (рис. 1), що свідчать про те, що розвиток ІС у світі суттєво гальмується саме побоюваннями у зв'язку з недостатньою безпекою інформаційних технологій. Цифри показують, що найбільше респонденти стурбовані недостатньою безпекою, пов'язаною з Web-сервісами, передачею інформації бездротовими каналами та електронною комерцією (B2B і B2C). Безпека систем класу Entrprise Applications (тут йдеться насамперед про продукти таких компаній, як SAP, People Soft, BAAN) викликає занепокоєння лише 7% опитаних, причому слід підкреслити, що наявність подібних системзначно спрощує проведення ІС-аудиту. Говорячи про співвідношення побоювань та реальних випадків виникнення проблем у ІС через їхню недостатню безпеку, Фред Рот навів відповідні дані (рис. 2). Інформаційні системи більшості компаній стикаються із використанням вірусів.

У доповіді Рота були також наведені дані про ті заходи, які плануються компаніями, які взяли участь в опитуванні Infoworld IT Security Survey, щодо підвищення безпеки ІВ (рис. 3). Більше половини компаній пов'язують заходи щодо посилення безпеки своїх ІС з впровадженням віртуальних приватних мереж, а 37% опитаних збираються вдатися до консалтингу та навчання своїх фахівців. Останні цифри свідчать про потенційно високу актуальність аудиту ІВ, оскільки постійне проведення аудиту гарантує стабільність функціонування інформаційних систем.

У доповіді було викладено основні поняття аудиту ІВ та принципи його проведення. Доповідач зупинився на питаннях структури аудиту ІС (рис. 4). Питання фінансового аудиту та аудиту ІС стуляються в галузі вирішення проблем оптимізації роботи додатків ІВ. Крім питань безпеки проведення аудиту ІВ допоможе вирішити низку важливих завдань: визначити відповідність існуючої ІС цілям та завданням бізнесу, обчислити оптимальність інвестицій в ІВ, знизити витрати на обслуговування.

Процес аудиту інформаційних систем можна представити у вигляді своєрідних ваг (рис. 5), де на одній чаші розглядаються системи безпеки доступу, на іншій - контроль бізнес-процесів, а як опора служить технічна інфраструктура, яка, у свою чергу, заснована на прийнятих методах авторизації, конфігурації системи, і навіть на політиках і процедурах, які у компанії.

Основні напрями контролю при аудиті ІС включають вивчення корпоративних стандартів, аналіз робочих процесів компанії, аналіз схеми мережі та мережевого трафіку у різних сегментах мережі, аналіз бізнес-процесів та ціле коло інших питань (рис. 6).

Після проведення аудиту ІС замовник отримує інформацію про джерела та величину втрат організації. Аудит дозволяє визначити ефективність корпоративних стандартів, знайти шляхи їх покращення, оцінити величину витрат на впровадження та підтримку більш ефективних корпоративних стандартів та виявити ефективність їх застосування. Ця інформація дозволяє визначити причини і джерела виникнення збоїв і налагодити процеси підтримки так, щоб збої, що виникають, були легко усуваються. За результатами аудиту ІС можуть бути розроблені і корпоративні стандарти, запровадження яких значно підвищує надійність функціонування інформаційних систем.

Комп'ютерПрес 11"2002

Навіщо проводити аудит інформаційних систем?

Сергій Гузік, JetInfo

Визначення та завдання аудиту

Під терміном аудит Інформаційної Системи розуміється системний процес отримання та оцінки об'єктивних даних про поточний стан ІС, дії та події, що відбуваються в ній, що встановлює рівень їх відповідності певному критерію та надає результати замовнику.
В даний час актуальність аудиту різко зросла, це пов'язано із збільшенням залежності організацій від інформації та ІВ. Ринок насичений апаратно-програмним забезпеченням, багато організацій через ряд причин (найбільш нейтральна з яких - це моральне старіння обладнання та програмного забезпечення) бачать неадекватність раніше вкладених коштів в інформаційні системи та шукають шляхи вирішення цієї проблеми. Їх може бути два: з одного боку - це повна заміна ІВ, що спричиняє великі капіталовкладення, з іншого - модернізація ІВ. Останній варіант вирішення цієї проблеми – менш дорогий, але відкриває нові проблеми, наприклад, що залишити з наявних апаратно-програмних засобів, як забезпечити сумісність старих та нових елементів ІВ.
Суттєвіша причина проведення аудиту полягає в тому, що при модернізації та впровадженні нових технологій їх потенціал повністю не реалізується. Аудит ІС дозволяє досягти максимальної віддачі від коштів, що інвестуються у створення та обслуговування ІВ.
Крім того, зросла вразливість ІС за рахунок підвищення складності елементів цієї ІВ, збільшення рядків коду програмного забезпечення, нових технологій передачі та зберігання даних.
Спектр погроз розширився. Це зумовлено такими причинами:
передача інформації мережами загального користування;
"інформаційна війна" конкуруючих організацій;
висока плинність кадрів з низьким рівнем порядності.
За даними деяких західних аналітичних агенцій, до 95% спроб несанкціонованого доступу до конфіденційної інформаціївідбувається за ініціативою колишніх працівників організації.
Проведення аудиту дозволить оцінити поточну безпеку функціонування ІВ, оцінити ризики, прогнозувати та керувати їх впливом на бізнес-процеси організації, коректно та обґрунтовано підійти до питання забезпечення безпеки інформаційних активів організації, основні з яких:
ідеї;
знання;
проекти;
результати внутрішніх обстежень.
Нині багато системних інтеграторів декларують постачання повного, закінченого рішення. На жаль, у кращому випадку, все зводиться до проектування та постачання обладнання та програмного забезпечення. Побудова інформаційної інфраструктури "залишається за кадром" і до рішення не додається.
У даному випадку під інформаційною інфраструктурою розуміється налагоджена система, що виконує функції обслуговування, контролю, обліку, аналізу, документування всіх процесів, що відбуваються в інформаційній системі.
Все частіше і частіше до системних інтеграторів, проектних організацій, постачальників обладнання виникають такі питання:
Що далі? (Наявність стратегічного плану розвитку організації, місце та роль ІВ у цьому плані, прогнозування проблемних ситуацій).
Чи відповідає наша ІС цілям та завданням бізнесу? Чи не перетворився бізнес на придаток інформаційної системи?
Як оптимізувати інвестиції в ІС?
Що відбувається всередині цієї "чорної скриньки" - ІС організації?
Збої в роботі ІВ, як виявити та локалізувати проблеми?
Як вирішуються питання безпеки та контролю доступу?
Підрядні організації провели постачання, монтаж, пуско-налагодження. Як оцінити їхню роботу? Чи є недоліки, якщо є, то які?
Коли необхідно провести модернізацію обладнання та ПЗ? Як обґрунтувати необхідність модернізації?
Як встановити єдину системууправління та моніторингу ІВ? Які вигоди вона надасть?
Керівник організації, начальник відділу ОІТП повинен мати можливість отримувати достовірну інформацію про поточний стан ІС у найкоротші терміни. Чи це можливо?
Чому постійно проводиться закупівля додаткового обладнання?
Співробітники відділу ОІТП постійно чогось навчаються, чи є в цьому необхідність?
Які дії робити у разі виникнення позаштатної ситуації?
Які ризики при розміщенні конфіденційної інформації в ІС організації? Як мінімізувати ці ризики?
Як знизити вартість володіння ІВ?
Як оптимально використовувати ІС, що склалася, при розвитку бізнесу?
На ці та інші подібні питання не можна миттєво дати однозначну відповідь. Тільки розглядаючи всі проблеми в цілому, взаємозв'язки між ними, враховуючи нюанси та недоліки, можна отримати достовірну, обґрунтовану інформацію.
Для цього у консалтингових компаніях у всьому світі існує певна специфічна послуга – аудит Інформаційної Системи.

ISACA (Асоціація аудиту та контролю інформаційних систем)

Підхід до проведення аудиту ІС, як окремої самостійної послуги, з часом упорядкувався та стандартизувався.
Великі та середні аудиторські компанії утворили асоціації – спілки професіоналів у галузі аудиту ІС, які займаються створенням та супроводом стандартів аудиторської діяльності у сфері ІТ. Як правило, це закриті стандарти, що ретельно охороняється "ноу-хау".
Однак, існує асоціація ISACA, яка займається відкритою стандартизацією аудиту ІС.
Асоціація ISACA заснована в 1969 році і в даний час об'єднує близько 20 тисяч членів із понад 100 країн, у тому числі й Росії. Асоціація координує діяльність більш як 12 тис. аудиторів інформаційних систем.
Основна декларована мета асоціації – це дослідження, розробка, публікація та просування стандартизованого набору документів з управління інформаційною технологією для щоденного використання адміністраторами та аудиторами інформаційних систем.
На допомогу професійним аудиторам, керівникам ОІТП, адміністраторам та зацікавленим користувачам асоціацією ISACA та залученими фахівцями з провідних світових консалтингових компаній було розроблено стандарт CoBiT.

CoBiT (Контрольні Об'єкти Інформаційної Технології)

CoBiT – Контрольні Об'єкти Інформаційної Технології – відкритий стандарт, перше видання, яке у 1996 році було продано у 98 країнах по всьому світу та полегшило роботу професійних аудиторів у сфері інформаційних технологій.
Стандарт пов'язує інформаційні технології та дії аудиторів, об'єднує та узгоджує багато інших стандартів у єдиний ресурс, що дозволяє авторитетно, на сучасному рівні отримати уявлення та керувати цілями та завданнями, що вирішуються ІС. CoBiT враховує всі особливості інформаційних систем будь-якого масштабу та складності.
Основне правило, покладене в основу CoBiT, таке: ресурси ІС повинні керуватися набором природно згрупованих процесів для забезпечення організації необхідної та надійної інформації (Рис. 1).

А тепер трохи роз'яснень щодо того, які ресурси та критерії їх оцінки використовуються у стандарті CoBiT:
Трудові ресурси - під трудовими ресурсами розуміються як співробітники організації, але й керівництво організації та контрактний персонал. Розглядаються навички штату, розуміння завдань та продуктивність роботи.
Програми - прикладне програмне забезпечення, що використовується в роботі організації.
Технології - Операційні системи, бази даних, системи керування і т.д.
Обладнання - всі апаратні засоби ІС організації з урахуванням їх обслуговування.
Дані - дані у найширшому сенсі - зовнішні та внутрішні, структуровані та неструктуровані, графічні, звукові, мультимедіа тощо.
Всі ці ресурси оцінюються CoBiT на кожному з етапів побудови або аудиту ІС за такими критеріями:
Ефективність - критерій, що визначає доречність та відповідність інформації завданням бізнесу.
Технічний рівень – критерій відповідності стандартам та інструкціям.
Безпека – захист інформації.
Цілісність - точність та закінченість інформації.
Придатність - доступність інформації необхідним бізнес-процесам у теперішньому та майбутньому. А також захист необхідних та супутніх ресурсів.
Узгодженість - виконання законів, інструкцій та домовленостей, що впливають на бізнес-процес, тобто зовнішні вимоги до бізнесу.
Надійність – відповідність інформації, що надається керівництву організації, здійснення відповідного управління фінансуванням та узгодженість посадових обов'язків.
CoBiT базується на стандартах аудиту ISA та ISACF, але включає й інші міжнародні стандарти, у тому числі бере до уваги затверджені раніше стандарти та нормативні документи:
технічні стандарти;
кодекси;
критерії ІВ та опис процесів;
професійні стандарти;
вимоги та рекомендації;
вимоги до банківських послуг, систем електронної торгівлі та виробництва.
Стандарт розроблено та проаналізовано співробітниками відповідних підрозділів провідних консалтингових компаній та використовується в їх роботі поряд із власними розробками.
Застосування стандарту CoBiT можливе як для проведення аудиту ІС організації, так і для початкового проектування ІС. Звичайний варіант прямої та зворотної завдань.
Якщо першому випадку - це відповідність поточного стану ІВ кращої практиці аналогічних організацій та підприємств, то іншому - спочатку вірний проект і, як наслідок, після закінчення проектування - ІВ, яка прагне ідеалу.
Надалі ми розглядатимемо аудит ІВ, маючи на увазі при цьому, що на будь-якому етапі можливе вирішення зворотного завдання - проектування ІВ.
Незважаючи на малий розмір, розробники намагалися, щоб стандарт був прагматичним і відповідав потребам бізнесу, при цьому зберігаючи незалежність від конкретних виробників, технологій та платформ.
На базовій блок-схемі CoBiT відображена послідовність, склад та взаємозв'язок базових груп. Бізнес-процеси (у верхній частині схеми) висувають свої вимоги до ресурсів ІС, які аналізуються з використанням критеріїв оцінки CoBiT на всіх етапах побудови та проведення аудиту.
Чотири базові групи (домена) містять у собі тридцять чотири підгрупи, які, у свою чергу, складаються з трьохсот двох об'єктів контролю. Об'єкти контролю надають аудитору всю достовірну та актуальну інформацію про поточний стан ІС.
Відмінні риси CoBiT:
1. Велика зона охоплення (всі завдання від стратегічного планування та основних документів до аналізу роботи окремих елементівІС).
2. Перехресний аудит (зони перевірки критично важливих елементів, що перекриваються).
3. Адаптований, стандарт, що нарощується.
Розглянемо переваги CoBiT перед численними західними та російськими розробками. Насамперед, це його достатність – поряд із можливістю щодо легкої адаптації до особливостей вітчизняних ІС. І, звичайно ж, те, що стандарт легко масштабується та нарощується. CoBiT дозволяє використовувати будь-які розробки виробників апаратно-програмного забезпечення та аналізувати отримані дані не змінюючи загальні підходи та власну структуру.

Практика проведення аудиту ІС

Подана на Мал. 2 блок-схема відображає, хоч і не в деталях, ключові точки проведення аудиту ІС. Розглянемо їх докладніше.
На етапі підготовки та підписання вихідно-дозвільної документації визначаються межі проведення аудиту:
Кордони аудиту визначаються критичними точками ІВ (елементами ІВ), у яких найчастіше виникають проблемні ситуації.
На підставі результатів попереднього аудиту всієї ІС (у першому наближенні) проводиться поглиблений аудит виявлених проблем.
У цей час створюється команда проведення аудиту, визначаються відповідальні особи з боку Замовника. Створюється та узгоджується необхідна документація.
Далі проводиться збір інформації про поточний стан ІС із застосуванням стандарту CoBiT, об'єкти контролю якого отримують інформацію про всі нюанси функціонування ІС як двійковій формі(Так/Ні), і формі розгорнутих звітів. Детальність інформації визначається етапі розробки вихідно-дозвільної документації. Існує певний оптимум між витратами (тимчасовими, вартісними тощо) отримання інформації та її важливістю і актуальністю.
Проведення аналізу – найбільш відповідальна частина проведення аудиту ІС. Використання під час аналізу недостовірних, застарілих даних неприпустимо, тому необхідно уточнення даних, поглиблений збір інформації.
Вимоги до проведення аналізу визначаються на етапі збирання інформації. Методики аналізу інформації існують у стандарті CoBiT, але якщо їх не вистачає не можна використовувати дозволені ISACA розробки інших компаній.
Результати проведеного аналізу є базою для вироблення рекомендацій, які після попереднього погодження із Замовником мають бути перевірені на здійсненність та актуальність з урахуванням ризиків впровадження.
Контроль виконання рекомендацій - важливий етап, який вимагає безперервного відстеження представниками консалтингової компанії ходу виконання рекомендацій.
На етапі розробки додаткової документації проводиться робота, спрямовану створення документів, відсутність чи недоліки у яких можуть викликати збої у роботі ИС. Наприклад, окремий поглиблений розгляд питань забезпечення безпеки ІС.
Постійне проведення аудиту гарантує стабільність функціонування ІВ, тому створення план-графіка проведення наступних перевірок є одним із результатів професійного аудиту.

Результати проведення аудиту

Результати аудиту ІС організації можна поділити на три основні групи:
1. Організаційні – планування, управління, документообіг функціонування ІС.
2. Технічні – збої, несправності, оптимізація роботи елементів ІВ, безперервне обслуговування, створення інфраструктури тощо.
3. Методологічні - підходи до вирішення проблемних ситуацій, управління та контролю, загальна впорядкованість та структуризація.
Проведений аудит дозволить обґрунтовано створити такі документи:
Довгостроковий план розвитку ІС.
Політика безпеки ІВ організації.
Методологія роботи та доведення ІС організації.
План відновлення ІС у надзвичайній ситуації.

Вимоги до подання інформації

Асоціація ISACA розробила та прийняла вимоги до подання інформації під час проведення аудиту. Застосування стандарту CoBiT гарантує дотримання цих вимог.
Основна вимога – корисність інформації. Щоб інформація була корисною, вона повинна мати певні характеристики, серед яких:
1. Зрозумілість. Інформація повинна бути зрозумілою для користувача, який має певний рівень знань, що не означає, однак, виключення складної інформації, якщо вона необхідна.
Доречність. Інформація є доречною або стосується справи, якщо вона впливає на рішення користувачів і допомагає їм оцінювати минулі, справжні, майбутні події або підтверджувати та виправляти минулі оцінки.
На доречність інформації впливає її зміст та суттєвість. Інформація є суттєвою, якщо її відсутність чи неправильна оцінка можуть вплинути на рішення користувача. Ще одна характеристика доречності - це своєчасність інформації, що означає, що вся значима інформація своєчасно, без затримки включено до звіту і такий звіт надано вчасно.
Якимсь аналогом принципу доречності у вітчизняній практиці може бути вимога повноти відображення операцій за обліковий період, хоча вимога відображення всієї інформації не є тотожною вимогою відображення істотної інформації.
Достовірність, надійність. Інформація є достовірною, якщо вона не містить суттєвих помилок чи упереджених оцінок та правдиво відображає господарську діяльність. Щоб бути достовірною, інформація повинна задовольняти такі характеристики:
- правдивість;
- нейтральність - інформація не повинна містити однобоких оцінок, тобто інформація не повинна надаватися вибірково з метою досягнення певного результату;
- обачність - готовність до обліку потенційних збитків, а чи не потенційних прибутків як наслідок - створення резервів. Такий підхід доречний у стані невизначеності і означає створення прихованих резервів чи спотворення інформації;
- Достатність інформації - включає таку характеристику, як вимога повноти інформації, як з точки зору її суттєвості, так і витрат на її підготовку.

Потреба вітчизняного ринкуу цій послузі

Оцінюючи необхідність проведення аудиту ІС необхідно акцентувати увагу на наступних моментах (див. Таб. 1):
складності розв'язуваних завдань - постійне збільшення, як кількісне, і якісне, завдань, розв'язуваних ІВ;
розгалуженості ІВ – складність в обслуговуванні, територіальна розподіленість;
перспективності бізнесу – нові напрямки, ринки, умови роботи;
керівництво організацією - вміння та бажання керівників стратегічно мислити, бачити перспективи, що відкриваються стандартизованим підходом, що базуються на передовому досвіді.
Хто зацікавлений у проведенні аудиту? Насамперед, це комерційні чи бюджетні організації та підприємства для обґрунтування інвестицій у ІВ, системні інтегратори, ІТ компанії з метою оцінки впливу ІВ на основний бізнес-процес та розширення спектру пропонованих послуг.
Для компаній, що проводять фінансовий аудит - аудит ІВ, додаткова послугаяка здатна підвищити рейтинг компанії на ринку.
Генеральним підрядникам робіт буде цікава можливість оцінити роботу субпідрядників у сфері ІТ.
А також проведення аудиту ІС за стандартом CoBiT буде цікавим будь-яким підприємствам та організаціям, які мають або планують створення ІВ та які зацікавлені в отриманні відповідей на питання, наведені у введенні цієї статті.

Таблиця 1. Результати аудиту.