Аудит інформаційних систем

Аудит Інформаційних Систем (аудит ІС) – це системний процес, відповідно до стандартів та процедур аудиту, отримання і оцінки об’єктивних даних щодо поточного стану інформаційної системи, розгляд подій системи, щоб з'ясувати їх точність та відповідність визначеним критеріям, надання результату аудиту замовнику.

Чи достатньо аудиту, який провадиться відомими аудиторськими компаніями, такими як PricewaterhouseCoopers, Ernst & Deloitte & Touche чи інші? Ці компанії виконують комплексний аудит, але зосереджуються на бухгалтерському аудиті. Аудит інформаційних технологій здійснюється досить формально, а фахівці, які залучаються до цих робіт по більшості іноземні (Росія) і не володіють знаннями законодавчої та нормативної бази України.

Тривалий час аудит ІС розглядався як окрема самостійна послуга. Крупні і середні аудиторські компанії утворили асоціації - союзи професіоналів в області аудиту ІС, які займаються створенням і супроводженням стандартів аудиторської діяльності у сфері інформаційних технологій. Як правило, це закриті стандарти, "ноу-хау".

Такий підхід не відповідає одному із головних правил аудиту: результати аудиту повинні бути об’єктивними, неупередженими і такими, що можуть бути повторені та відтворені будь-яким аудитом, у тому числі зовнішнім, який використовуватиме таку ж схему аудиту.

На відміну від закритих (корпоративних) стандартів аудиту, існують відкриті стандарти аудиту ІС, якими займається асоціація ISACA (Асоціація аудиту і контролю інформаційних систем).

Асоціація ISACA заснована в 1969 році і в даний час об'єднує понад 35 тисяч членів із понад 100 країн, у тому числі й спеціалістів України. Асоціація координує діяльність більш ніж 12 тис. аудиторів інформаційних систем.

Основна мета асоціації — це дослідження, розробка, публікація і поширення знань та досвіду в галузях аудиту та управління інформаційними системами, стандартизованого набору документів по управлінню інформаційною технологією та їх використання адміністраторами і аудиторами інформаційних систем.

На допомогу професійним аудиторам, керівникам, адміністраторам і зацікавленим користувачам асоціацією ISACA і залученими фахівцями з провідних світових консалтингових компаній був розроблений стандарт CoBiT (Контрольні Об'єкти Інформаційної Технології).

CoBiT — відкритий стандарт, перше видання якого в 1996 році полегшило роботу професійних аудиторів у сфері інформаційних технологій. Стандарт пов'язує інформаційні технології і дії аудиторів, об'єднує і погоджує багато інших стандартів та критеріїв в єдиний ресурс, що дозволяє авторитетно, на сучасному рівні одержати уявлення і управляти цілями і задачами ІС. CoBiT враховує практично всі особливості інформаційних систем будь-якого масштабу і складності.

CoBiT базується на стандартах аудиту ISAСА та включає й інші міжнародні стандарти, у тому числі бере до уваги затверджені раніше стандарти і нормативні документи:

·         технічні стандарти;

·         кодекси;

·         критерії ІС і опис процесів;

·         професійні стандарти;

·         вимоги і рекомендації;

·         вимоги до банківських послуг, систем електронної торгівлі і виробництва.

Основні функції аудиту ІС:

·         аналіз бізнес-процесів, технологій та структури ІС, притаманних їм ризиків;

·         відповідність політики управління ризиками установи наявним ризикам;

·         дієвість системи моніторингу ризиків та системи контролю ризиків;

·         незалежне оцінювання ризиків, об’єктивна, неупереджена перевірка результатів самооцінки ризиків, здійснених бізнес-підрозділами;

·         ідентифікація потенційних проблем і ризиків;

·         об’єктивний аудит проблемних ситуацій і повноти заходів їх вирішення;

·         аналіз звітів моніторингу та контролю з наміром поліпшення існуючої роботи/практики управління ризиками;

·         аналіз та надання керівництву організації повного профілю ризиків, висновків щодо стратегії управління ризиками, процедур і методів.

Аудит, заснований на ризиках, враховує наявні та потенційні ризики. Одна із груп найбільш суттєвих ризиків групується під терміном „операційний ризик”,  що визначається як: „ризик втрат/збитків, що є результатом неадекватних або невдалих внутрішніх процесів, роботи/дій людей та систем або результатом зовнішніх подій”. До ризиків, які розглядаються аудитом, зокрема відносяться:

- Операційний ризик (ризики безпеки; ризики проектування, реалізації та обслуговування систем; ризики кінцевого користувача тощо);

- Законодавчий ризик (сумнівне чи неоднозначне застосування законів і правил; надання клієнту неадекватної інформації; помилки/відмови в захисті конфіденційності клієнта; підпорядкованість іноземній юрисдикції);

- Ризик репутації (суттєві дефекти системи; суттєві порушення безпеки; проблеми з неправильним використанням такої ж чи подібної системи чи продуктів іншими);

- Стратегічний ризик;

- Системний ризик,

Інші.

Незалежна оцінка ризиків аудиторами повинна охоплювати:

·         Оцінювання практики організації щодо ідентифікації та оцінювання ризиків; відповідальності за ризик, згідно з його профілем;

·         Ефективність усього процесу управління ризиками, а також елементів управління ризиком;

·         Системи моніторингу, звітності, включаючи дані про операційні витрати та інші індикатори потенційного операційного ризику;

·         Процес контролю, огляд і перевірку безпеки, що гарантують цілісність процесу управління ризиком і звітності контролю;

·         Ефективність зусиль щодо мінімізації наслідків у випадках настання подій ризиків, виявлення причин неефективності.

Діяльність аудиторів, членів ISACA, регламентується також Кодексом  Професійної Етики ISACA.

Додатково аудит ІС дозволяє вирішити такі питання:

–         Встановлення процедури ухвалення рішення про необхідність організації в ІС (наявність стратегічного плану розвитку організації, місце і роль ІС в цьому плані, прогнозування проблемних ситуацій);

–         Чи відповідає ІС цілям і задачам бізнесу? Як оптимізувати інвестиції в ІС?

–         Що відбувається усередині цього "чорного ящика" - ІС організації?

–         Збої в роботі ІС, як виявити і локалізувати проблеми, зменшити збитки?

–         Як розв'язуються питання інформаційної безпеки? Чи достатні заходи безпеки?

–         Як оцінити роботу підрядних організацій в галузі ІС? Чи є недоліки?

–         Чи необхідно провести модернізацію устаткування і програмного забезпечення?

–         Чому весь час провадиться закупівля додаткового устаткування та/або програмного забезпечення?

–         Співробітники інформаційних технологій постійно чому-небудь вчаться, чи є в цьому необхідність, на що саме слід звернути увагу ?

–         Що робити у разі виникнення позаштатної ситуації? Які можливі збитки?

–         Які виникають ризики щодо конфіденційної інформації в ІС організації? Як їх мінімізувати?

–         Як оптимально використовувати ІС для розвитку бізнесу?

Зазначені питання повинні розглядатися у взаємозв’язку з ризиками.

На поточний момент група компанiй має в своєму штаті 8 членів ISACA, з яких 4 співробітника мають більш ніж 10-річний стаж роботи в галузі інформаційної безпеки банківських систем. Ми співпрацюємо в професійній аудиторській діяльності з членами ISACA з інших організацій України. Група компанiй пропонує свої послуги усім організаціям, зацікавленим в кваліфікованому проведенні аудиту їх інформаційних систем та/чи підготовці (підвищенню кваліфікації) їх власних фахівців з внутрішнього аудиту.