Сегодня многих руководителей не устраивает тот уровень автоматизации, который сложился на предприятии. Физически и морально устаревшие информационные системы (ИС), "лоскутная" автоматизация отдельных процессов уже не в состоянии обеспечить руководящий состав оперативной и достоверной информацией, столь необходимой для принятия обоснованных и своевременных управленческих решений.

Несовершенство системы управления приводит к снижению доходности работы предприятия, неустойчивому положению на рынке товаров и услуг.

Возвращение к проблемам комплексной автоматизации предприятий вызвано заинтересованностью руководства предприятий в создании эффективной структуры управления, а в этом деле важную роль играет информационное обеспечение. Поэтому вновь на повестке дня встал вопрос о создании корпоративных информационных систем.

Но даже при успешных внедрениях руководство предприятий не всегда получает нужный эффект. Успех проекта автоматизации не означает автоматического получения существенной пользы от него. Даже если цели проекта достигнуты, они могут не соответствовать текущим требованиям производства. Такое встречается очень часто.

Проваленные проекты автоматизации, колоссальные потери времени и средств - эту картину можно наблюдать на крупных предприятиях. Почему такое происходит? Почему не спасают ни высокие технологии, ни продукты, ни авторитет известных фирм? Почему провалы есть и у готовых пакетов, и у заказных информационных систем? Почему предприятия не могут освободиться от "лоскутной" автоматизации?

Практика создания систем по модели "как есть" показала, что автоматизация без модернизации существующей системы управления не приносит желаемых результатов. Ведь использование в работе программных приложений - это не просто сокращение бумажных документов и рутинных операций, но и переход на новые формы ведения документооборота, учёта и отчётности.

Не оправдывает себя и "лоскутная" автоматизация отдельных рабочих мест рядовых исполнителей. Руководитель в результате всё равно получает данные, подготовленные вручную.

Существует иллюзия, что автоматизировать предприятие можно "малой кровью", используя собственных сотрудников, которые и так получают зарплату.

АВТОМАТИЗАЦИЯ предприятия - это создание некоторого вспомогательного производства, которое упрощает принятие решений руководством предприятия.

Практика показывает, что в сфере автоматизации, как и в сфере аудита, привлечение специалистов со стороны экономически оправдано и более эффективно.

Разрабатывающий систему сотрудник надолго оторван от своих прямых обязанностей по эксплуатации уже функционирующих программ, проект может провалиться из-за ухода ведущих специалистов. Разработка информационной системы силами самого предприятия может затянуться на годы, не принося реальной пользы высшему руководству.

Рассматривая проблему эффективности информационных систем с позиций системного анализа, можно выделить основные критерии оценки эффективности:

1. Выбор ресурсов. При выборе информационной системы необходимо исходить из того, что использование любого ресурса целесообразно только тогда, когда оно даёт положительный эффект.
2. Динамика. Следует учитывать фактор времени, важно выбрать те технологии, которые будут использоваться продолжительное время.
3. Этапность. Информационный проект следует внедрять и оценивать поэтапно, чтобы каждый шаг приносил конкретную выгоду предприятию.

Вывод: начинать нужно не с выбора программы, а с оценки потребностей и возможностей предприятия, с предпроектного обследования и создания технического проекта. Эти меры помогут определить, где вложения в информационные системы могут обеспечить наибольшую выгоду.

Зачем проводить аудит информационных систем?

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определённому критерию и предоставляющий результаты заказчику.

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Белорусский рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых -моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны, это полная замена ИС, что влечёт за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.

Кроме того, возросла уязвимость ИС за счёт повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

• передача информации по сетям общего пользования;
• "информационная война" конкурирующих организаций;
• высокая (типичная для России и Беларуси) текучка кадров с низким уровнем порядочности.

По данным некоторых западных аналитических агентств, до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Всё чаще и чаще у клиентов к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:

1. Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций.)
2. Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
3. Сбои в работе ИС, как выявить и локализовать проблемы?
4. Как решаются вопросы безопасности и контроля доступа?
5. Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
6. Когда необходимо провести модернизацию оборудования и ПО?
7. Почему всё время производится закупка дополнительного оборудования?
8. Сотрудники отдела ОАСУ постоянно чему-либо учатся, есть ли в этом необходимость?
9. Какие действия предпринимать в случае возникновения внештатной ситуации?
10. Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
11. Как снизить стоимость владения ИС?
12. Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всём мире существует определённая специфическая услуга - аудит Информационной Системы.

Ради безопасности...

Как театр начинается с вешалки, так и практически любая организация начинается с охраны. Где-то обходятся отставным военным, записывающим фамилии посетителей в тетрадку, где-то - хитроумными системами безопасности, через которые и мышь не проскочит - хотя бы потому, что у неё нет карточки доступа.

Но сотрудники службы охраны обеспечивают лишь физическую безопасность, в то время как гораздо больше ресурсов приходится тратить на безопасность информационную. Масштабы этой задачи могут широко варьировать в зависимости от ценности информации, содержащейся внутри организации. Кому-то нужно просто защититься от "начинающих хакеров", а кому-то - уберечься от промышленного шпионажа со стороны конкурентов.

Чтобы убедиться в эффективности существующей или создаваемой системы информационной безопасности, лучше всего обратиться к аудитору ИС.

Специалисты нередко подчёркивают, что аудит - это всего лишь проверка системы на соответствие каким-либо требованиям - стандартам, нормативным документам и т. д. Более детальную и глубокую проверку они предпочитают называть обследованием. Это более сложная работа, которая включает в себя анализ информационных потоков, бизнес-процессов, анализ адекватности систем защиты информации, критичности информации... То есть это - глубокий анализ с привязкой к конкретной организации.

Однако мы для простоты будем называть и это аудитом ИС.

Когда целесообразно прибегать к аудиту системы информационной безопасности?

• До начала разработки системы информационной безопасности - чтобы знать текущее состояние и понимать, что делать.

Зачем проводить аудит информационных систем?

Сергей Гузик, JetInfo

Определение и задачи аудита

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена ИС, что влечет за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.
Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.
Спектр угроз расширился. Это обусловлено следующими причинами:
передача информации по сетям общего пользования;
"информационная война" конкурирующих организаций;
высокая текучка кадров с низким уровнем порядочности.
По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:
идеи;
знания;
проекты;
результаты внутренних обследований.
В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры "остается за кадром" и к решению не прилагается.
Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:
Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).
Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
Как оптимизировать инвестиции в ИС?
Что происходит внутри этого "черного ящика" - ИС организации?
Сбои в работе ИС, как выявить и локализовать проблемы?
Как решаются вопросы безопасности и контроля доступа?
Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?
Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?
Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?
Почему все время производится закупка дополнительного оборудования?
Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?
Какие действия предпринимать в случае возникновения внештатной ситуации?
Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
Как снизить стоимость владения ИС?
Как оптимально использовать сложившуюся ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.
Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит Информационной Системы.

ISACA (Ассоциация аудита и контроля информационных систем)

Подход к проведению аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался.
Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау".
Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС.
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.
Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.

CoBiT (Контрольные Объекты Информационной Технологии)

CoBiT - Контрольные ОБъекты Информационной Технологии - открытый стандарт, первое издание, которое в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (Рис. 1).

А теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:
Трудовые ресурсы - под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.
Приложения - прикладное программное обеспечение, используемое в работе организации.
Технологии - операционные системы, базы данных, системы управления и т.д.
Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания.
Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита ИС по следующим критериям:
Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.
Технический уровень - критерий соответствия стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность информации.
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.
Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:
технические стандарты;
кодексы;
критерии ИС и описание процессов;
профессиональные стандарты;
требования и рекомендации;
требования к банковским услугам, системам электронной торговли и производству.
Стандарт разработан и проанализирован сотрудниками соответствующих подразделений ведущих консалтинговых компаний и используется в их работе наряду с собственными разработками.
Применение стандарта CoBiT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач.
Если в первом случае - это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - ИС, стремящаяся к идеалу.
В дальнейшем мы будем рассматривать аудит ИС, подразумевая при этом, что на любом этапе возможно решение обратной задачи - проектирования ИС.
Несмотря на малый размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.
На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.
Отличительные черты CoBiT:
1. Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).
2. Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).
3. Адаптируемый, наращиваемый стандарт.
Рассмотрим преимущества CoBiT перед многочисленными западными и российскими разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям отечественных ИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

Практика проведения аудита ИС

Представленная на Рис. 2 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:
Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Проведение анализа - наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации.
Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Результаты проведения аудита

Результаты аудита ИС организации можно разделить на три основных группы:
1. Организационные - планирование, управление, документооборот функционирования ИС.
2. Технические - сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.
3. Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволит обоснованно создать следующие документы:
Долгосрочный план развития ИС.
Политика безопасности ИС организации.
Методология работы и доводки ИС организации.
План восстановления ИС в чрезвычайной ситуации.

Требования к представлению информации

Ассоциация ISACA разработала и приняла требования к представлению информации при проведении аудита. Применение стандарта CoBiT гарантирует соблюдение этих требований.
Основное требование - полезность информации. Чтобы информация была полезной, она должна обладать определенными характеристиками, среди которых:
1. Понятность. Информация должна быть понятной для пользователя, который обладает определенным уровнем знаний, что не означает, однако, исключения сложной информации, если она необходима.
Уместность. Информация является уместной или относящейся к делу, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие, будущие события или подтверждать и исправлять прошлые оценки.
На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Еще одна характеристика уместности - это своевременность информации, которая означает, что вся значимая информация своевременно, без задержки включена в отчет и такой отчет предоставлен вовремя.
Неким аналогом принципа уместности в отечественной практике может служить требование полноты отражения операций за учетный период, хотя требование отражения всей информации не тождественно требованию отражения существенной информации.
Достоверность, надежность. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Чтобы быть достоверной, информация должна удовлетворять следующим характеристикам:
- правдивость;
- нейтральность - информация не должна содержать однобоких оценок, то есть информация не должна предоставляться выборочно, с целью достижения определенного результата;
- осмотрительность - готовность к учету потенциальных убытков, а не потенциальных прибылей и как следствие - создание резервов. Такой подход уместен в состоянии неопределенности и не означает создание скрытых резервов или искажения информации;
- достаточность информации - включает такую характеристику, как требование полноты информации, как с точки зрения ее существенности, так и затрат на ее подготовку.

Потребность отечественного рынка в данной услуге

При оценке необходимости проведения аудита ИС необходимо акцентировать внимание на следующих моментах (см. Таб. 1):
сложности решаемых задач - постоянное увеличение, как количественное, так и качественное, задач, решаемых ИС;
разветвленности ИС - сложность в обслуживании, территориальная распределенность;
перспективности бизнеса - новые направления, рынки, условия работы;
руководство организацией - умение и желание руководителей стратегически мыслить, видеть перспективы, открываемые стандартизованным подходом, основанные на передовом опыте.
Кто заинтересован в проведении аудита? Прежде всего, это коммерческие или бюджетные организации и предприятия для обоснования инвестиций в ИС, системные интеграторы, ИТ компании для оценки влияния ИС на основной бизнес-процесс и расширения спектра предлагаемых услуг.
Для компаний, проводящих финансовый аудит - аудит ИС, дополнительная услуга, которая способна повысить рейтинг компании на рынке.
Генеральным подрядчикам работ будет интересна возможность оценить работу субподрядчиков в сфере ИТ.
А также проведение аудита ИС по стандарту CoBiT будет интересно любым предприятиям и организациям, имеющим или планирующим создание ИС и которые заинтересованы в получении ответов на вопросы, приведенные во введении этой статьи.

Таблица 1. Результаты проведения аудита.

У вас на предприятии уже внедрена информационная система, которая, казалось бы, должна облегчить рутинные операции, оптимизировать работу, но на деле оказывается, что процессы стали ещё запутаннее, а управление и постоянные настройки ИС требуют всё больше и больше ресурсов. В чём причина? Что сделано не так? Нужна ли вообще ИС вашему предприятию, а если нужна, то какая? Какие задачи должна решать ваша информационная система? На эти и другие вопросы может дать ответ только грамотный всесторонний аудит, исследование действующих систем и специфики вашего бизнеса.

До разработки корпоративной информационной системы, осуществляется аудит систем управления, планирования, учёта, отчётности, документооборота, и т.п. Цель - поиск точек роста и оптимизация бизнеса заказчика. Учитывая данные анализа, специалисты разрабатывают КИС (корпоративную информационную систему) для каждого конкретного предприятия. Подвергаются анализу и уже действующие на предприятии информационные системы, степень их эффективности и целесообразность использования именно этих решений..

Современная ИС (информационная система) представляет сложный набор взаимосвязанных схем и алгоритмов, при этом от грамотности ее построения напрямую зависит эффективность работы всего предприятия. Проведение аудита информационной системы позволяет дать ответы на такие важные вопросы, как:

• соответствие ИС преследуемым целям и специфике деятельности компании;
• уровень защищенности данных от внутренних и внешних негативных факторов;
• степень интеграции информационных технологий в бизнес-процессы предприятия.

Аудит ИС – это в том числе и анализ эффективности работы IT-службы, степени автоматизации осуществляемых на предприятии процессов, оценка качества документооборота и журнализации. Его проведение предоставляет возможность получить максимально полную информацию о возможных рисках, о положении IT-инфраструктуры компании.

Аудит эффективности ИС предполагает выполнение следующих мероприятий:

• инвентаризация IT-инфраструктуры (осуществляется проверка используемого в компании оборудования и ПО);
• определение показателей нагрузки на IT-объекты;
• оценка статистических данных, а также информации, полученной в ходе инвентаризации;
• установление степени соответствия функциональных возможностей ИС требованиям бизнеса;
• написание отчета по результатам аудита;
• разработка рекомендаций, направленных на оптимизацию ИС;
• формализация фонда НСИ.

Результаты проведения аудита информационных систем:

• выявление истинных причин низкой эффективности используемой ИС;
• возможность принять обоснованное решение по повышению ее продуктивности, будь то закупка более современного оборудования, совершенствование ранее используемой ИС или ее замена на новую;
• составление прогнозов относительно того, как поведет себя ИС в случае изменения потоков информации (увеличение общего числа проводимых операций, пользователей и т. п.);
• получение доступных и обоснованных рекомендаций, касающихся улучшения работы IT-подразделений, оптимизации затрат на информационные технологии, а также обозначения мероприятий, призванных улучшить качество IT-сервиса.

Универсальных информационных систем, которые подходят всем без исключения предприятиям не бывает. Взяв за основу платформу 1С или Oracle, как базис, необходимо выполнить целый ряд настроек, дополнить нужный функционал, отключить лишнее - выполнить идеальную подгонку всех информационных механизмов по ваш бизнес. Первым шагом к поиску оптимальных решений может быть аудит информационной системы предприятия или, как её принято называть, корпоративной информационной системы.

ИТ-аудит позволяет получать актуальные сведения о текущем уровне функционирования системы и разрабатывать мероприятия по повышению ее эффективности. Основная цель проведения ИТ-аудита – сравнение состояния дел в организации с эталонной моделью: стандартами, нормативами, наборами лучших практик, регламентами сторонней компании. Другими словами, аудит информационных систем позволяет понять и зафиксировать разницу между нормой и существующими распорядками в ИТ-подразделении.

Обеспечение бизнес-процессов, необходимых для функционирования предприятий различных отраслей, подразумевает внедрение локальных и глобальных информационных систем. Значительная роль систем передачи данных в деятельности компаний обуславливает необходимость развития и достижения оптимального уровня функциональных возможностей ИТ-инфраструктуры. К работе ИТ-систем предъявляется целый ряд требований, таких как быстрый доступ к ресурсам, удобство конфигурации, гибкость и масштабируемость, безопасность и высокая надежность.

Среди наиболее популярных стандартов, которые специалисты «Апланы» используют в работе, выделяются: свод знаний по управлению проектами PMBok, модель зрелости процессов разработки ПО в организациях CMMI, подход к управлению и организации ИТ-услуг ITIL/ITSM.

Ключевые преимущества ИТ аудита именно у нас

Многие руководители предприятий различных отраслей бизнеса уже давно используют наши услуги для обеспечения высокой производительности и надежного функционирования информационных систем. Мы выступаем в качестве независимых консультантов, которые изучают ситуацию под разными углами и помогают определить существующие несовершенства системы.

К специалистам «Апланы» стоит обращаться, если требуется выяснить причину медленной разработки тех или иных систем, их неспособности справляться с поставленными бизнес-задачами. Наиболее сложной задачей является реструктуризация инвестиций в информационные технологии. Мы помогаем руководителю понять, насколько рационально происходит вложение средств в различные направления ИТ, и возможно ли их перераспределение.

Стоимость проведения ИТ аудита в организации зависит от каждого конкретного случая. Доверив проведение услуг специалистам «Апланы», вы всегда можете быть уверены, что получите ряд преимуществ:

Освобождаете себя от внутреннего штата аналитиков и не нуждаетесь в долгом и затратном развитии компетентных специалистов

Получаете независимую экспертную оценку от профессионалов в данной области

Получаете готовый план по комплексной оптимизации информационных процессов

Проводите «генеральную репетицию» перед сертификационными аудитами, например, по стандарту ISO

Разновидности аудита

• Комплексный ИТ-аудит – полный и всесторонний анализ работы подразделений разработки и поддержки ПО, выявление неэффективных элементов, практик, методик, несоответствий определенным критериям и заданным стандартам.
• Процессный аудит в ИТ-подразделениях – анализ технологий и процесса производства ПО в сравнении с эталонными моделями.
• Аудит информационной системы на предмет правильности ее использования по сравнению с заданными стандартами или лучшими мировыми практиками.
• Аудит организационной структуры – выявление пробелов и проблем кадровой структуры ИТ-подразделения.​
• Аудит процессов контроля качества – экспертная оценка состояния процессов тестирования по стандарту модели TMMI.

Основные задачи

• Определение «узких мест» и выявление неэффективного использования системы. В результате клиент получает готовый набор рекомендаций для исправления выявленных недочетов.
• Оценка стоимости и длительности процесса по ликвидации недочетов.
• Определение потребности в ресурсах разных категорий: финансовых, производственных, интеллектуальных и т.д.
• Подбор оптимальных инструментов для осуществления предложенных изменений с учетом внутренней специфики компании.

Аудит процессов разработки проводится специалистами «Апланы» с целью зафиксировать разницу между существующими процессам по разработке ПО и выбранными стандартными. Одна из ключевых особенностей в предоставлении услуги является ориентир на основные бизнес-задачи компании. Это позволяет более точно сформулировать рекомендации по увеличению эффективности ИТ-систем, принятию мер по снижению и устранению возможных рисков, оптимизации расходов совместно с повышением качества работы разработчиков.

Аудит не зависит от других услуг ИТ-консалтинга и может осуществляться на любом этапе развития компании. Как правило, разработка методологии опирается на результаты проведенного аудита.

Введение

Автоматизированные информационные технологии в аудиторской деятельности

Программное обеспечение информационных технологий аудиторской деятельности

Заключение

Список литературы

Введение

Реформирование российской экономики обусловило необходимость создания и развития новых экономических институтов, регулирующих взаимоотношения различных субъектов предпринимательской деятельности, среди которых достойное место должен занять институт аудита, являющийся неотъемлемой частью рыночных отношений. Опыт становления и развития российского аудита показал невозможность прямого переноса методологии развитых капиталистических стран на реорганизуемую экономику постсоветского периода. Поэтому в настоящее время идет активная работа над созданием концепции развития аудита и в целом аудиторской деятельности для условий России.

Основными целями создания данной концепции является построение модели функционирования аудита, адекватной потребностям российской экономики, совершенствование форм и методов проведения аудиторских проверок с учетом развития аудита в России и требований международных стандартов по бухгалтерскому учету и аудиту.

В современных условиях становление аудита и в целом аудиторской деятельности должно быть, прежде всего, направлено на реализацию и усиление контрольной функции аудита, что может быть достигнуто только в результате перехода от модели подтверждающего к модели системно-ориентированного аудита. Такой подход требует активного применения средств и методов научного познания, и особенно метода моделирования, использующего мощные средства современной математики и информационных технологий. Информационное моделирование позволит изучать особенности, свойства, взаимосвязи аудиторской деятельности, тенденции ее развития в России и за рубежом. Информационно-математическое моделирование аудиторской деятельности должно стать основой процесса построения модели функционирования российского аудита.

Задачи компьютерной информационной системы аудиторской деятельности

В практике проектирования компьютерной информационной системы аудиторской деятельности (КИС АД) прослеживаются два принципиально различающихся подхода к их созданию.

1. Использование набора тестов (рабочих таблиц), ориентированных на ввод констатирующей информации о соблюдении тех или иных правил бухгалтерского учета. При этом бухгалтерская информация клиента полностью или частично игнорируется. Этот путь может привести к существенному риску пропуска ошибок, поэтому более перспективен второй подход.

2. Ориентирование на первичную информацию клиента, в которой отражены хозяйственные операции на синтетическом и аналитическом уровне. В этом случае требуются существенные затраты времени на ввод данных клиента.

В рамках второго подхода возможны два способа создания КИС АД:

1)система компьютеризации аудита по этапам;

2)система компьютеризации аудита по комплексам задач.

Система компьютеризации аудита по этапампредполагает использование сетевой архитектуры и хранение всех данных в единой базе, к которой пользователи системы должны иметь авторизованный доступ соответствующего уровня. Пользователям предоставляют разные права по работе с системой, которые в простом варианте делятся на два уровня: руководитель проверки и аудиторы. Вся информация, записанная в базу данных, должна быть доступна одновременно всем членам аудиторской группы.

Выделяются три этапа технологии работы аудитора в условиях КИС АД:

1) подготовительный этап;

2) проведение проверки;

3) завершающий этап.

На подготовительном этапеизучается и записывается в базу данных информация о клиенте, данные главной книги, показатели бухгалтерской отчетности и другая информация. Изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица определяется используемой им системой компьютерной обработки данных (КОД).

При проведении аудита в системе КОД сохраняются цель и основные подходы к определению методов проведения аудита. Однако КОД влияет на изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица. Это вызвано тем, что источниками информации для аудитора выступают учетные документы на машиночитаемом носителе, в памяти компьютера находится постоянная нормативно-справочная информация, применяется автоматизированная форма бухгалтерского учета.

Работая в среде КОД, аудитор изучает организационную форму обработки данных, форму бухгалтерского учета и его автоматизированные разделы, применение локального или сетевого варианта обработки данных, обеспечение архивирования и хранения данных. Аудитор должен также описать техническое, программное, технологическое обеспечение КОД. Он оценивает возможности компьютерной системы с точки зрения ее гибкого реагирования на изменения хозяйственного законодательства, формирования управленческой отчетности, проведения аналитических процедур, а также степени квалификации учетного персонала в области информационных технологий.

В ходе проведения аудита системы КОД клиента аудитору необходимо осуществить следующие задачи

1.Необходимо ознакомиться с организационной формой обработки данных и уровнем автоматизации управленческих задач, в том числе задач бухгалтерского учета. На малых предприятиях, где обработка данных выполняется одним бухгалтером, программное обеспечение бухгалтерского учета и информационная база сосредоточены на одном компьютере. При численности бухгалтерии более одного человека речь идет о многопользовательских системах, реализующих работу нескольких пользователей с информационной базой учета. Аудитор должен разбираться в основных отличиях этих технологий, так как это влияет на определяемые им процедуры проверки и риск проводимого аудита.

2.Аудитор должен дать оценку правильности выбора задач автоматизации и высказать мнение о задачах, участках учета, работе подразделений, где применение компьютерной технологии обработки данных даст наибольший эффект. В первую очередь подлежат автоматизации работы наиболее перегруженных подразделений, которые тормозят работу предприятия. Прежде всего следует автоматизировать учет и анализ дебиторской задолженности.

3.В ходе проверки аудитору следует изучить и оценить систему документооборота организации: порядок формирования, регистрации, хранения, обработки документов и трансформации первичных документов в систему записей на бухгалтерских счетах. Необходимо выяснить места возникновения первичной информации и степень ее сбора и регистрации. Для этого аудитор должен ознакомиться со схемой расположения автоматизированных рабочих мест управленческих работников на предприятии.

4.Аудитор должен дать характеристику способам ввода данных и формированию записей о хозяйственных операциях. Автоматизированная и автоматическая генерация бухгалтерских записей и проводок на основе типовых операций и электронных форм документов позволяет избежать многих ошибок, которые неизбежны при ручном вводе и формировании проводок. Ошибка также может содержаться в типовой проводке или в электронных формах, которые необходимо проверить. Следует изучить организацию хранения информации о хозяйственных операциях и возможность быстрого получения информации о хозяйственных операциях, документах и вывода ее на печать.

Обязательной аудиторской процедурой является тестирование вводимых данных в систему КОД бухгалтерского учета. Эта проце дура предполагает тестирование полноты документов в "бумажном" варианте и тестирование соответствия бумажных документов их электронным копиям, введенным в систему. Отсутствие этого соответствия является сигналом того, что отчетность является недостоверной.

6.Аудитор должен удостовериться в обеспечении сохранности данных информационной системы, в простоте доступа к данным и ограничении несанкционированного доступа к ним.

7.Особое внимание уделяется проверке надежности средств внутреннего контроля в среде КОД. Аудитор обязан выявить слабые места контроля систем компьютерного учета: рассмотреть аппаратные и программные средства контроля, организационные мероприятия (архивирование данных, проверка на вирус). Ему необходимо проанализировать способы организации контроля полноты и правильности ввода первичной информации в информационную базу, контроля, обработки и выбора данных, дать оценку их достаточности и эффективности. В многопользовательских сетевых системах объектом внимания должен быть процесс передачи данных.

8.Аудитор должен тщательно проверить правильность алгоритмов расчетов.

Ошибка, заложенная в алгоритм расчета, который многократно применяется к повторяющимся хозяйственным операциям, может исказить результат хозяйственной деятельности.

После осуществления указанных задач на основе полученной информации проводятся предварительный финансовый анализ, оценка уровня существенности и аудиторского риска, разрабатывается общий план аудита и распределяются обязанности между членами аудиторской группы.

При определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием КОД, следует руководствоваться правилом (стандартом) "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной системы".

Планирование аудита в системе КОД осуществляется согласно правилу (стандарту) "Планирование аудита".

При планировании проведения аудита с применением компьютеров нужно учесть следующее: обеспеченность аудиторской организации оборудованием, необходимым как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров; дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом; факт привлечения к работе экспертов в области информационных технологий; знания, опыт и квалификацию аудитора в области информационных технологий; целесообразность использования тестов, производимых без использования компьютера; эффективность использования компьютера при проведении аудита. Составляя общий план и программу аудита, следует принимать во внимание степень автоматизации обработки учетной информации, применяемые экономическим субъектом информационные технологии.