Стандартизация информационных технологий
(Окончание)
Аудит информационных систем и технологии
До последнего времени под аудитом понимался только аудит финансовой отчетности. Так, постановление Правительства РФ от 23 сентября 2002 г. № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности» устанавливает единые цели и основные принципы проведения аудита финансовой (бухгалтерской) отчетности, которые аудиторская организация и индивидуальный аудитор обязаны соблюдать. Деятельность же по внутреннему аудиту затрагивает не только проверку достоверности финансовой (бухгалтерской) отчетности, но и оценку системы внутреннего контроля во всех аспектах деятельности организации, в том числе ИТ.
Базельский комитет по банковскому надзору в документе «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» (Базель II) требует от всех финансовых компаний рассчитывать рыночные, кредитные и операционные риски. При этом операционные риски определяются документом как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.
Правило (стандарт) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» (одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации 11 июля 2000 г., протокол № 1) также особое внимание уделяет рискам в системе компьютерной обработки данных и устанавливает требования к внутреннему контролю в условиях применения компьютерной обработки данных.
Основные направления аудита ИТ
В международной практике особое внимание уделяется аудиту деятельности ИТ со стороны бизнеса - независимому внутреннему аудиту ИТ, который должны проводить структуры, независимые от руководителей ИТ-подразделений. Поэтому в организации целесообразно создание независимых подразделений внутренних аудиторов ИТ. Использование международных стандартов и лучших практик позволяет выработать такие инстру-
менты внутреннего аудита, которые отвечают на наиболее важные вопросы для бизнеса, способствуют созданию инструментария для формирования мотивированного суждения аудитором об оценке уровней «зрелости» ИТ-процессов с минимизацией субъективных факторов, используя единую интегрированную систему оценки уровня «зрелости» деятельности ИТ. Пока еще не всеми организациями осознана необходимость внутреннего аудита ИТ, т.е. независимой оценки эффективности ИТ в организации.
В общем случае аудит ИТ можно разделить на несколько категорий, однако только последние категории 3-6 можно отнести к внутреннему аудиту ИТ.
1. Обследование ИТ. Сбор информации, которая будет использоваться для проведения последующих работ, например, проектных, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ.
2. Технический аудит ИТ. Сбор, анализ сведений и подготовка рекомендаций для улучшения работы отдельного элемента ИТ -инфраструктуры, имеют узкую прикладную специализацию исследования. Пример технического аудита - аудирование действий пользователей при обращении к информационным ресурсам (аудит информационной безопасности).
Указанные виды аудита являются техническими и должны выполняться сотрудниками подразделений информатизации и безопасности в рамках текущей деятельности, а также процедур внутреннего контроля. Внутренние аудиторы производят независимую оценку уровня организации работ по обеспечению полноты, качества и периодичности осуществления подразделениями информатизации и безопасности указанных видов технического аудита.
3. Аудит ИТ в бизнес-процессе. Аудит ИТ, поддерживающих определенный бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для его проведения необходимо определить ответственного за процесс, пользователей и участников, а также применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы.
Ф.М. БАЙНОВСКИЙ,
начальник управления аудита информационных систем департамента внутреннего аудита и ревизий Банка России
П.В. КУДРЯВЦЕВ,
начальник отдела стандартов аудита информационных систем управления аудита информационных, систем департамента внутреннего аудита и ревизий Банка России
4. Аудит критерия ИТ. Сбор, анализ информации и выдача рекомендаций по одному из выбранных для оценки критериев ИТ: результативность, рациональность, конфиденциальность, целостность, доступность, соответствие, надежность.
5. Аудит ИТ-процесса. Оценка отдельных ИТ-процессов, например, управление качеством, управление проектами, управление изменениями, управление безопасностью и др. Позволяет оценить влияние отдельных ИТ-процессов на бизнес-процессы через критерии ИТ и систему сбалансированных показателей.
6. Комплексный аудит ИТ. Руководство организации должно знать и иметь возможность оценить все происходящее в ИТ-подразделении, сравнить адекватность ИТ-потребностям бизнеса, прогнозировать развитие организации и соизмерять его с текущим состоянием. Задача комплексного аудита ИТ - изучить и оценить сложную многомерную матрицу взаимосвязей бизнес-процессов и поддерживающих их информационных технологий, представив итоговое заключение в виде простого и понятного образа, при этом сохранив достоверность информации.
Оценивать систему корпоративного ИТ-управления на основании международного опыта целесообразно с при-
При внедрении внутреннего аудита ИТ в организации необходимо опираться на международные стандарты не только в области ИТ, но и в области аудита. Особое внимание следует обратить на разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors -IIA) стандарты - «Международные профессиональные стандарты внутреннего аудита» (International Standards for the Professional Practice of Internal Auditing).
В соответствии с Правилом (стандартом) аудиторской деятельности «Рассмотрение работы внутреннего аудита» № 29 внутренний аудит - это контрольная деятельность, осуществляемая внутри аудируемого лица его подразделением - службой внутреннего аудита. Функции службы внутреннего аудита включают мониторинг адекватности и эффективности системы внутреннего контроля.
Объем и цели внутреннего аудита различны и зависят от размера и структуры организации и требований ее руководства. Обычно функции службы внутреннего аудита включают один или несколько следующих элементов:
• мониторинг эффективности процедур внутреннего контроля;
• исследование финансовой и управленческой информации;
Анализ рисков (факторы риска)
■ Ресурсы ■Требования
- Уровень угроз (внутренние, внешние);
- Уровень уязвимости (свойства ресурсов);
1. Планирование и организация
2. Приобретение и внедрение
3. Обслуживание и сопровождение
4. Мониторинг и оценка
менением референтных (эталонных) моделей для каждого уровня «зрелости» ИТ-процессов. Сравнение проводится в рамках отдельных аудиторских проверок путем сопоставления действующей системы управления ИТ с референтной моделью (независимая оценка). Выбор методов и подходов для проведения ИТ-аудита напрямую зависит от выбора референтной модели для того или иного уровня «зрелости» оцениваемой системы управления ИТ (чем выше уровень зрелости системы управления ИТ, тем более сложные и наукоемкие методы аудита должны использовать проверяющие).
Организация внутреннего аудита ИТ
Внутренний аудит - неотъемлемая часть корпоративного управления, мощный инструмент по оценке эффективности и совершенствованию деятельности организации, в том числе ИТ-подразделений.
• контроль экономности, эффективности и результативности, включая нефинансовые средства контроля;
• контроль за соблюдением законодательства Российской Федерации, нормативных актов и других внешних требований, а также политики, директив и других внутренних требований руководства.
Основная задача внутренних аудиторов - проведение проверок в интересах своей организации, в интересах бизнеса и оказание помощи руководству организации и его подразделений в целях эффективного выполнения поставленных перед ними задач.
Одним из основных направлений деятельности внутренних аудиторов является аудит ИТ. При проведении аудита информационных систем аудиторы должны оценивать:
• рациональность и результативность процессов управления ИТ,
• состояние внутреннего контроля,
• процессы управления рисками,
• «зрелость» механизмов управления ИТ-процессами,
• возможную степень влияния ИТ-процессов на достижение результатов бизнеса.
Внутренний аудит ИТ должен способствовать улучшению состояния информационных систем, характеризующегося уровнем их безопасности и эффективностью процессов управления ИТ. Проведение аудита информационных систем должно способствовать повышению зрелости ИТ-процессов до уровней, способных обеспечить качественное предоставление ИТ-услуг.
Основные характеристики уровней «зрелости» системы управления ИТ-процессами сформулированы в табл.1.
чества и/или систем экологического менеджмента (environmental management).
В данном стандарте приведены не только общие подходы к проведению аудита, цели и объем программ аудита, но и практические советы, примеры программ аудита, примеры целей различных программ аудита.
Типовая схема проведения аудита, предложенная стандартом, охватывает все этапы аудиторской проверки -от назначения руководителя аудиторской группы и определения целей, области и критериев аудита до завершения аудита.
В общем случае аудиторская проверка состоит из следующих этапов:
1. Назначение руководителя аудиторской группы.
2. Определение целей, области и критериев аудита.
Таблица 1
Уровень зрелости Осознание необходимости использования ИТ-процесса Регламентация процедур в рамках ИТ-процесса Автоматизация управления Высокое качество процедур в рамках ИТ-процесса Механизм совершенствования процедур
Нулевой Нет Нет Нет Нет Нет
Первый Частичное Интуитивны и не описаны Нет Нет Нет
Второй Да Начато описание Планируется Нет Нет
Третий Да Да Начато внедрение Допустимое Нет
Четвертый Да Да Да Да Разрабатывается
Пятый Да Да Да Да Да
Полноценная оценка ИТ-
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.