Аудит информационных систем
Аудит Информационных Систем (аудит ИС) - это системный процесс, в соответствии со стандартами и процедурами аудита, получение и оценки объективных данных относительно текущего состояния информационной системы, рассмотрение событий системы, чтобы выяснить их точность и соответствие определенным критериям, предоставление результата аудита заказчику.
Достаточно ли аудита, который осуществляется известными аудиторскими компаниями, такими как PricewaterhouseCoopers, Ernst & Young, Deloitte & Touche или другие? Эти компании выполняют комплексный аудит, но сосредоточиваются на бухгалтерском аудите. Аудит информационных технологий осуществляется относительно формально, а специалисты, которые привлекаются в эти работы в большинстве иностранные (Россия) и не владеют знаниями законодательной и нормативной базы Украины.
Длительное время аудит ИС рассматривался как отдельная самостоятельная услуга. Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и контролем за стандартами аудиторской деятельности в сфере информационных технологий. Как правило, это закрыты стандарты, "ноу-хау".
Такой подход не отвечает одному из главных правил аудита: результаты аудита должны быть объективными, беспристрастными и такими, что могут быть подтверждены и воспроизведены любым аудитом, в том числе внешним, который будет использовать такую же схему аудита.
В отличие от закрытых (корпоративных) стандартов аудита, существуют открытые стандарты аудита ИС, которыми занимается ассоциация ISACA (Ассоциация аудита и контроля информационных систем).
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет свыше 35 тысяч членов из более чем 100 стран, в том числе и специалистов Украины. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.
Основная цель ассоциации - это исследование, разработка, публикация и распространение знаний и опыта в отраслях аудита в управлении информационных системам, стандартизированного набора документов в управлении информационных технологиях и их использование администраторами и аудиторами информационных систем.
На помощь профессиональным аудиторам, руководителям, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT (Контрольные Объекты Информационных Технологий).
CoBiT - открытый стандарт, первое издание которого в 1996 году облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает много других стандартов и критериев в единственный ресурс, что позволяет авторитетно, на современном уровне получить представление и управлять целями и задачами ИС. CoBiT учитывает практически все особенности информационных систем любого масштаба и сложности.
CoBiT базируется на стандартах аудита ISAСА и включает и другие международные стандарты, в том числе принимает во внимание утвержденные раньше стандарты и нормативные документы:
технические стандарты;
кодексы;
критерии ИС и описание процессов;
профессиональные стандарты;
требования и рекомендации;
требования к банковским услугам, систем электронной торговли и производства.
Основные функции аудита ИС:
анализ бизнес-процессов, технологий и структуры ИС, присущей им рисков;
соответствие политики управления рисками учреждения имеющимся рискам;
действенность системы мониторинга рисков и системы контроля рисков;
независимое оценивание рисков, объективная, беспристрастная проверка результатов самооценки рисков, осуществленных бизнес-подразделами;
идентификация потенциальных проблем и рисков;
объективный аудит проблемных ситуаций и полноты мероприятий их решения;
анализ отчетов мониторинга и контроля с намерением улучшения существующей работы/практики управления рисками;
анализ и предоставление руководству организации полного профиля рисков, выводов относительно стратегии управления рисками, процедур и методов.
Аудит, основанный на рисках, учитывает имеющиеся и потенциальные риски. Одна из групп наиболее существенных рисков группируется под термином "операционный риск", что определяется как: "риск потерь/убытков, что являются результатом неадекватных или неудачных внутренних процессов, роботы/действий людей и систем, или результатом внешних событий". К рискам, которые рассматриваются аудитом, в частности относятся:
Операционный риск (риски безопасности; риски проектирования, реализации и обслуживание систем; риски конечного пользователя и тому подобное);
Законодательный риск (сомнительное или неоднозначное применение законов и правил; предоставление клиенту неадекватной информации; ошибки/отказы в защите конфиденциальности клиента; подчиненность иностранной юрисдикции);
Риск репутации (существенные дефекты системы; существенные нарушения безопасности; проблемы с неправильным использованием такой же или подобной системы или продуктов другими);
Стратегический риск;
Системный риск
Другие.
независимая оценка рисков аудиторами должна охватывать:
Оценку практики организации относительно идентификации и оценку рисков; ответственности за риск, согласно с его профилем;
Эффективность всего процесса управления рисками, а также элементов управления риском;
Системы мониторинга, отчетность, включая данные об операционных расходах и других индикаторах потенциального операционного риска;
Процесс контроля, обзор и проверку безопасности, что гарантируют целостность процесса управления риском и отчетность контроля;
Эффективность усилий относительно минимизации последствий в случаях наступления событий рисков, выявления причин неэффективности.
Деятельность аудиторов, членов ISACA, регламентируется также Кодексом Профессиональной Этики ISACA.
Дополнительно аудит ИС позволяет решить такие вопросы:
Установление процедуры принятия решения о необходимости организации в ИС (наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций);
Отвечает ли ИС целям и задачам бизнеса? Как оптимизировать инвестиции в ИС?
Что происходит внутри этого "черного ящика" - ИС организации?
Сбои в роботе ИС, как выявить и локализовать проблемы, уменьшить убытки?
Как развязываются вопросы информационной безопасности? Достаточные мероприятия ли безопасности?
Как оценить работу подрядочных организаций в отрасли ИС? Есть ли недостатки?
Необходимо ли провести модернизацию оборудования и программного обеспечения?
Почему все время осуществляется закупка дополнительного оборудования и/или программного обеспечения?
Сотрудники информационных технологий постоянно чему-нибудь учатся, есть ли в этом необходимость, на что именно следует обратить внимание?
Что делать в случае возникновения внештатной ситуации? Какие возможны убытки?
Какие возникают риски относительно конфиденциальной информации в ИС организации? Как их минимизировать?
Как оптимально использовать ИС для развития бизнеса?
Отмеченные вопросы должны рассматриваться во взаимосвязи с рисками.
На текущий момент группа компаний имеет в своем штате 8 членов ISACA, из которых 4 сотрудника имеют более чем 10-летний стаж работы в отрасли информационной безопасности банковских систем. Мы сотрудничаем в профессиональной аудиторской деятельности с членами ISACA с других организаций Украины. Гуппа компаний предлагает свои услуги всем организациям, заинтересованным в квалифицированном проведении аудита их информационных систем и/или подготовке (повышению квалификации) их собственных специалистов из внутреннего аудита.
| Назад |
