Tänapäeval ei ole paljud juhid rahul ettevõttes välja kujunenud automatiseerimise tasemega. Füüsiliselt ja moraalselt vananenud infosüsteemid (IS), üksikute protsesside „lapiline“ automatiseerimine ei suuda enam pakkuda juhtkonnale operatiivset ja usaldusväärset infot, mis on nii vajalik mõistlike ja õigeaegsete juhtimisotsuste tegemiseks.

Juhtimissüsteemi ebatäiuslikkus toob kaasa ettevõtte kasumlikkuse vähenemise, ebastabiilse positsiooni kaupade ja teenuste turul.

Tagasipöördumise ettevõtete keeruka automatiseerimise probleemide juurde põhjustab ettevõtete juhtkonna huvi tõhusa juhtimisstruktuuri loomise vastu ning infotoel on selles küsimuses oluline roll. Seetõttu kerkis taas päevakorda ettevõtete infosüsteemide loomise küsimus.

Kuid isegi eduka rakendamise korral ei saavuta ettevõtete juhtimine alati soovitud tulemust. Automatiseerimisprojekti edu ei tähenda automaatselt sellest olulist kasu. Isegi kui projekti eesmärgid saavutatakse, ei pruugi need vastata praegustele tootmisnõuetele. Seda juhtub väga sageli.

Ebaõnnestunud automatiseerimisprojektid, tohutu aja- ja raharaiskamine – seda pilti võib näha suurettevõtetes. Miks see juhtub? Miks ei säästa ei kõrgtehnoloogiad, tooted ega tuntud firmade autoriteet? Miks esineb rikkeid nii valmispakettidel kui ka eritellimusel valminud infosüsteemidel? Miks ei saa ettevõtted "lapitöö" automatiseerimisest lahti saada?

Praktika luua süsteeme mudeli "nagu on" järgi on näidanud, et automatiseerimine ilma olemasolevat juhtimissüsteemi uuendamata ei anna soovitud tulemusi. Tarkvararakenduste kasutamine töös ei ole ju pelgalt paberdokumentide ja rutiinsete toimingute vähendamine, vaid ka üleminek uutele dokumendihalduse, raamatupidamise ja aruandluse vormidele.

Ennast ei õigusta ka tavaliste tegijate üksikute tööde "lapitöö" automatiseerimine. Tänu sellele saab juht ikkagi käsitsi koostatud andmed.

Tekib illusioon, et "väikese verevalamisega" on võimalik ettevõtet automatiseerida, kasutades selleks oma töötajaid, kes juba palka saavad.

Ettevõtte AUTOMATISEERIMINE on mõne abitootmise loomine, mis lihtsustab ettevõtte juhtkonna otsuste tegemist.

Praktika näitab, et nii automatiseerimise kui ka auditi valdkonnas on välisspetsialistide kaasamine majanduslikult põhjendatud ja efektiivsem.

Süsteemi arendav töötaja on oma otsestest tööülesannetest eraldatud juba toimivate programmide opereerimiseks pikaks ajaks, projekt võib ebaõnnestuda juhtivate spetsialistide lahkumise tõttu. Infosüsteemi arendamine ettevõtte enda poolt võib venida aastaid, ilma tippjuhtkonnale reaalset kasu toomata.

Arvestades infosüsteemide efektiivsuse probleemi süsteemianalüüsi seisukohalt, saame välja tuua peamised efektiivsuse hindamise kriteeriumid:

1. Ressursi valik. Infosüsteemi valikul tuleb lähtuda sellest, et mistahes ressurssi on soovitav kasutada ainult siis, kui sellel on positiivne mõju.
2. Dünaamika. Arvestada tuleks ajateguriga, oluline on valida need tehnoloogiad, mida kasutatakse pikka aega.
3. Lavastatud. Teabeprojekti tuleks ellu viia ja hinnata etapiviisiliselt, et iga samm tooks ettevõttele konkreetset kasu.

Järeldus: alustada tuleb mitte programmi valikust, vaid ettevõtte vajaduste ja võimaluste hindamisest, projektieelsest uuringust ja tehnilise projekti loomisest. Need meetmed aitavad kindlaks teha, kus võivad infosüsteemidesse tehtavad investeeringud anda suurimat kasu.

Miks auditeerida infosüsteeme?

Infosüsteemi auditi all mõistetakse süstemaatilist protsessi, mille käigus saadakse ja hinnatakse objektiivseid andmeid IS hetkeseisu, selles toimuvate toimingute ja sündmuste kohta, tehakse kindlaks nende teatud kriteeriumile vastavuse tase ja edastatakse tulemused kliendile.

Praegu on auditi asjakohasus hüppeliselt suurenenud, selle põhjuseks on organisatsioonide suurenev sõltuvus teabest ja intellektuaalomandist. Valgevene turg on riist- ja tarkvarast küllastunud, paljud organisatsioonid näevad mitmel põhjusel (millest kõige neutraalsem on riist- ja tarkvara vananemine) varem infosüsteemidesse investeeritud vahendite ebapiisavust ja otsivad lahendusi. see probleem. Neid võib olla kaks: ühelt poolt on tegemist IS-i täieliku väljavahetamisega, millega kaasnevad suured investeeringud, teiselt poolt IS-i moderniseerimisega. Selle probleemi viimane lahendus on odavam, kuid avab uusi probleeme, näiteks mida jätta olemasolevast riist- ja tarkvarast, kuidas tagada vanade ja uute IC-elementide ühilduvus.

Lisaks on IS-i haavatavus suurenenud tänu selle IS-i elementide keerukuse suurenemisele, tarkvara koodiridade arvu suurenemisele ning andmete edastamise ja salvestamise uutele tehnoloogiatele.

Ohtude spekter on laienenud. See on tingitud järgmistest põhjustest:

• teabe edastamine avalike võrkude kaudu;
• konkureerivate organisatsioonide "infosõda";
• kõrge (Venemaale ja Valgevenele tüüpiline) personali voolavus madala aususe tasemega.

Mõnede Lääne analüüsiagentuuride andmetel on kuni 95% konfidentsiaalsele teabele volitamata juurdepääsust algatatud organisatsiooni endiste töötajate poolt.

Järjest sagedamini on klientidel süsteemiintegraatoritel, ja seadmete tarnijatel järgmised küsimused:

1. Mis järgmiseks? (Organisatsiooni arendamise strateegilise plaani olemasolu, IP koht ja roll selles, probleemolukordade prognoosimine.)
2. Kas meie IP on kooskõlas ettevõtte eesmärkide ja eesmärkidega? Kas äri on muutunud infosüsteemi lisandiks?
3. Tõrked IS-i töös, kuidas probleeme tuvastada ja lokaliseerida?
4. Kuidas turva- ja juurdepääsukontrolliga seotud probleeme käsitletakse?
5. Töövõtjad teostasid tarne, paigalduse, kasutuselevõtu. Kuidas nende tööd hinnata? Kas on mingeid miinuseid ja kui jah, siis millised need on?
6. Millal on vaja riist- ja tarkvara uuendada?
7. Miks ostetakse pidevalt lisavarustust?
8. OASU osakonna töötajad õpivad pidevalt midagi juurde, kas selleks on vajadus?
9. Milliseid meetmeid võtta hädaolukorras?
10. Millised riskid tekivad konfidentsiaalse teabe paigutamisel organisatsiooni IP-sse? Kuidas neid riske minimeerida?
11. Kuidas vähendada IP omamise kulusid?
12. Kuidas olemasolevat IP-d äriarenduses optimaalselt kasutada?

Neile ja teistele sarnastele küsimustele ei saa kohe vastata. Ainult kõiki probleeme tervikuna, nendevahelisi suhteid, nüansse ja puudusi arvesse võttes saate usaldusväärset, mõistlikku teavet. Selleks on konsultatsiooniettevõtetes üle maailma olemas kindel konkreetne teenus - infosüsteemi audit.

Ohutuse huvides...

Nagu teater algab riidepuust, algab peaaegu iga organisatsioon turvalisusest. Kusagil saavad nad hakkama pensionil sõjaväelasega, kes kirjutab vihikusse külastajate nimed, kuskil - geniaalsete turvasüsteemidega, millest isegi hiir läbi ei lipsa - kasvõi sellepärast, et tal pole sissepääsukaarti.

Kuid turvatöötajad pakuvad ainult füüsilist turvalisust, samas kui infoturbele tuleb kulutada palju rohkem ressursse. Selle ülesande ulatus võib olla väga erinev, olenevalt organisatsioonis hoitava teabe väärtusest. Keegi peab end lihtsalt kaitsma "algajate häkkerite" eest ja keegi peab end kaitsma konkurentide tööstusspionaaži eest.

Olemasoleva või tekkiva infoturbesüsteemi tõhususe kontrollimiseks on kõige parem pöörduda IS-i audiitori poole.

Eksperdid rõhutavad sageli, et audit on vaid süsteemi vastavuse kontroll mis tahes nõuetele – standarditele, eeskirjadele jne. Täpsemat ja põhjalikumat kontrolli eelistavad nad nimetada ülevaatuseks. Tegemist on keerulisema tööga, mis hõlmab infovoogude, äriprotsesside analüüsi, infokaitsesüsteemide adekvaatsuse, info kriitilisuse analüüsi... See tähendab, et tegemist on konkreetse organisatsiooniga seotud süvaanalüüsiga.

Lihtsuse mõttes nimetame seda siiski ka IP-auditiks.

Millal on soovitatav kasutada infoturbe auditit?

• Enne infoturbesüsteemi arendamist – teada hetkeseisu ja aru saada, mida teha.

Miks auditeerida infosüsteeme?

Sergei Guzik, JetInfo

Auditi mõiste ja eesmärgid

Infosüsteemi auditi all mõistetakse süstemaatilist protsessi, mille käigus saadakse ja hinnatakse objektiivseid andmeid IS hetkeseisu, selles toimuvate toimingute ja sündmuste kohta, tehakse kindlaks nende teatud kriteeriumile vastavuse tase ja edastatakse tulemused kliendile.
Praegu on auditi asjakohasus hüppeliselt suurenenud, selle põhjuseks on organisatsioonide suurenev sõltuvus teabest ja intellektuaalomandist. Turg on riist- ja tarkvarast küllastunud, paljud organisatsioonid näevad mitmel põhjusel (millest neutraalseim on riist- ja tarkvara vananemine) varem infosüsteemidesse investeeritud vahendite ebapiisavust ja otsivad võimalusi selle lahendamiseks. probleem. Neid võib olla kaks: ühelt poolt on tegemist IS-i täieliku väljavahetamisega, millega kaasnevad suured investeeringud, teiselt poolt IS-i moderniseerimisega. Selle probleemi viimane lahendus on odavam, kuid avab uusi probleeme, näiteks mida jätta olemasolevast riist- ja tarkvarast, kuidas tagada vanade ja uute IC-elementide ühilduvus.
Olulisem põhjus auditi läbiviimiseks on see, et moderniseerimisel ja uute tehnoloogiate kasutuselevõtul ei realiseerita nende täit potentsiaali. IP-audit võimaldab teil maksimeerida IP loomise ja hooldamise investeeringutasuvust.
Lisaks on IS-i haavatavus suurenenud seoses selle IS-i elementide keerukuse suurenemisega, tarkvara koodiridade arvu suurenemisega, andmete edastamise ja salvestamise uute tehnoloogiatega.
Ohtude spekter on laienenud. See on tingitud järgmistest põhjustest:
teabe edastamine avalike võrkude kaudu;
konkureerivate organisatsioonide "infosõda";
suur kaadrivoolavus ja madal korralikkus.
Mõnede Lääne analüüsiagentuuride andmetel on kuni 95% konfidentsiaalsele teabele volitamata juurdepääsust algatatud organisatsiooni endiste töötajate poolt.
Auditi läbiviimine võimaldab hinnata IS-i toimimise praegust turvalisust, hinnata riske, prognoosida ja juhtida nende mõju organisatsiooni äriprotsessidele, läheneda õigesti ja mõistlikult organisatsiooni infovarade turvalisuse tagamise küsimusele, millest peamised on:
ideed;
teadmised;
projektid;
siseuuringute tulemused.
Praegu deklareerivad paljud süsteemiintegraatorid tervikliku ja tervikliku lahenduse tarnimist. Kahjuks taandub see kõik parimal juhul riist- ja tarkvara disainile ja tarnimisele. Infotaristu ehitamine "jääb kulisside taha" ega sisaldu lahenduses.
Teeme reservatsiooni, et antud juhul mõistetakse infotaristu all hästi toimivat süsteemi, mis täidab kõigi infosüsteemis toimuvate protsesside hoolduse, kontrolli, arvestuse, analüüsi ja dokumenteerimise funktsioone.
Üha sagedamini on süsteemiintegraatoritel, ja seadmete tarnijatel järgmise sisuga küsimusi:
Mis järgmiseks? (Organisatsiooni arengu strateegilise plaani olemasolu, IS-i koht ja roll selles osas, probleemsituatsioonide prognoosimine).
Kas meie IP on kooskõlas ettevõtte eesmärkide ja eesmärkidega? Kas äri on muutunud infosüsteemi lisandiks?
Kuidas optimeerida investeeringuid IP-sse?
Mis toimub selle "musta kasti" – organisatsiooni IS sees?
Tõrked IS-i töös, kuidas probleeme tuvastada ja lokaliseerida?
Kuidas turva- ja juurdepääsukontrolliga seotud probleeme käsitletakse?
Töövõtjad teostasid tarne, paigalduse, kasutuselevõtu. Kuidas nende tööd hinnata? Kas on mingeid miinuseid ja kui jah, siis millised need on?
Millal on vaja riist- ja tarkvara uuendada? Kuidas põhjendada moderniseerimise vajadust?
Kuidas paigaldada ühtne IP haldus- ja seiresüsteem? Millist kasu see annab?
Organisatsiooni juht, OITP osakonna juhataja peaks saama võimalikult lühikese aja jooksul usaldusväärset teavet IP hetkeseisu kohta. Kas see on võimalik?
Miks ostetakse pidevalt lisavarustust?
OECD osakonna töötajad õpivad pidevalt midagi juurde, kas selleks on vajadus?
Milliseid meetmeid võtta hädaolukorras?
Millised riskid tekivad konfidentsiaalse teabe paigutamisel organisatsiooni IP-sse? Kuidas neid riske minimeerida?
Kuidas vähendada IP omamise kulusid?
Kuidas olemasolevat IP-d äriarenduses optimaalselt kasutada?
Neile ja teistele sarnastele küsimustele ei saa kohe vastata. Ainult kõiki probleeme tervikuna, nendevahelisi suhteid, nüansse ja puudusi arvesse võttes saate usaldusväärset, mõistlikku teavet.
Selleks on konsultatsiooniettevõtetes üle maailma olemas kindel konkreetne teenus - infosüsteemi audit.

ISACA (infosüsteemide auditi ja kontrolli ühendus)

IP-auditi kui eraldiseisva sõltumatu teenuse läbiviimise lähenemisviisi on aja jooksul täiustatud ja standarditud.
Suured ja keskmise suurusega audiitorfirmad on moodustanud ühendused - IP auditi valdkonna spetsialistide liidud, mis tegelevad IT valdkonna auditistandardite loomise ja hoidmisega. Reeglina on need suletud standardid, hoolikalt valvatud "know-how".
Küll aga tegutseb ühendus ISACA, mis tegeleb IP auditi avatud standardiseerimisega.
ISACA assotsiatsioon asutati 1969. aastal ja ühendab praegu umbes 20 tuhat liiget enam kui 100 riigist, sealhulgas Venemaalt. Ühing koordineerib enam kui 12 tuhande infosüsteemide audiitori tegevust.
Ühingu peamiseks väljakuulutatud eesmärgiks on infosüsteemide haldajatele ja audiitoritele igapäevaseks kasutamiseks mõeldud standardiseeritud infotehnoloogia juhtimisdokumentide kogumi uurimine, arendamine, avaldamine ja propageerimine.
Professionaalsete audiitorite, OIE juhtide, administraatorite ja huvitatud kasutajate abistamiseks töötas ISACA välja CoBiT standardi ja kaasas eksperte maailma juhtivatest konsultatsioonifirmadest.

CoBiT (infotehnoloogia juhtimisobjektid)

CoBiT – Information Technology Control Objects – avatud standard, esimene väljaanne, mis 1996. aastal müüdi 98 riigis üle maailma ja hõlbustas professionaalsete audiitorite tööd infotehnoloogia vallas.
Standard seob infotehnoloogia ja audiitorite tegevuse, ühendab ja ühtlustab palju teisi standardeid ühtseks ressursiks, mis võimaldab autoriteetselt, kaasaegsel tasemel aimu saada ning juhtida IS-i poolt lahendatud eesmärke ja eesmärke. CoBiT võtab arvesse kõiki infosüsteemide omadusi, mis tahes ulatuse ja keerukusega.
CoBiTi aluseks olev põhireegel on järgmine: IS-i ressursse tuleks hallata loomulikult rühmitatud protsesside kogumi abil, et pakkuda organisatsioonile vajalikku ja usaldusväärset teavet (joonis 1).

Ja nüüd mõned selgitused selle kohta, milliseid ressursse ja nende hindamise kriteeriume CoBiT standardis kasutatakse:
Inimressurss - tööjõuressurssi ei mõisteta mitte ainult organisatsiooni töötajatena, vaid ka organisatsiooni juhtimisena ja lepinguliste töötajatena. Arvesse võetakse personali oskusi, ülesannete mõistmist ja töö tulemuslikkust.
Rakendused - organisatsiooni töös kasutatav rakendustarkvara.
Tehnoloogiad - operatsioonisüsteemid, andmebaasid, juhtimissüsteemid jne.
Seadmed - kogu riistvara ON organisatsiooni, arvestades nende hooldust.
Andmed - andmed kõige laiemas tähenduses - välised ja sisemised, struktureeritud ja struktureerimata, graafilised, heli, multimeedia jne.
CoBiT hindab kõiki neid ressursse IS-i loomise või auditeerimise igas etapis vastavalt järgmistele kriteeriumidele.
Tõhusus on kriteerium, mis määrab teabe asjakohasuse ja vastavuse ärieesmärkidele.
Tehniline tase – standarditele ja eeskirjadele vastavuse kriteerium.
Turvalisus – teabe kaitse.
Terviklikkus on teabe täpsus ja täielikkus.
Kättesaadavus - teabe kättesaadavus vajalikele äriprotsessidele olevikus ja tulevikus. Nagu ka vajalike ja sellega seotud ressursside kaitsmine.
Järjepidevus - äriprotsessi mõjutavate seaduste, juhiste ja kokkulepete rakendamine ehk ettevõttele esitatavad välised nõuded.
Usaldusväärsus - organisatsiooni juhtkonnale antava teabe järgimine, asjakohase finantsjuhtimise rakendamine ja töökohustuste järjepidevus.
CoBiT põhineb ISA ja ISACF auditistandarditel, kuid sisaldab ka muid rahvusvahelisi standardeid, sealhulgas võtab arvesse varem heaks kiidetud standardeid ja määrusi:
tehnilised standardid;
koodid;
IP kriteeriumid ja protsesside kirjeldus;
kutsestandardid;
nõuded ja soovitused;
nõuded pangateenustele, e-kaubanduse süsteemidele ja tootmisele.
Standardi töötasid välja ja analüüsisid juhtivate konsultatsioonifirmade vastavate osakondade töötajad ning seda kasutatakse oma töös koos enda arendustega.
CoBiT standardi kasutamine on võimalik nii organisatsiooni IS-i auditeerimiseks kui ka IS-i esialgseks kujundamiseks. Tavaline otse- ja pöördülesannete variant.
Kui esimesel juhul on tegemist ISi hetkeseisu vastavusega sarnaste organisatsioonide ja ettevõtete parimale praktikale, siis teisel juhul on tegemist algselt korrektse projektiga ning sellest tulenevalt pärast projekteerimise valmimist IS püüdleb ideaali poole.
Tulevikus kaalume IS-i auditit, mis tähendab, et igal etapil on võimalik lahendada pöördprobleem - IS-i disain.
Vaatamata väikesele suurusele püüdsid arendajad muuta standardi pragmaatiliseks ja ettevõtte vajadustele vastavaks, säilitades samas sõltumatuse konkreetsetest tootjatest, tehnoloogiatest ja platvormidest.
CoBiT põhiplokkskeem näitab põhirühmade järjestust, koostist ja seost. Äriprotsessid (diagrammi ülaosas) esitavad oma nõuded IP ressurssidele, mida analüüsitakse CoBiT hindamiskriteeriumide abil kõigis auditi ehitamise ja läbiviimise etappides.
Neli põhirühma (domeeni) sisaldavad kolmkümmend neli alamrühma, mis omakorda koosnevad kolmesajast kahest juhtobjektist. Kontrolliobjektid annavad audiitorile kogu usaldusväärse ja ajakohase teabe IP hetkeseisu kohta.
CoBiTi eristavad omadused:
1. Suur leviala (kõik ülesanded alates strateegilisest planeerimisest ja alusdokumentidest kuni ISi üksikute elementide toimimise analüüsini).
2. Ristaudit (kattuvad alad kriitiliste elementide kontrollimiseks).
3. Kohanduv, skaleeritav standard.
Mõelge CoBiTi eelistele paljude lääne ja Venemaa arenduste ees. Esiteks on see selle piisavus - koos võimalusega suhteliselt hõlpsalt kohaneda kodumaise IS-i omadustega. Ja muidugi see, et standard on kergesti skaleeritav ja laiendatav. CoBiT võimaldab kasutada riist- ja tarkvaratootjate mis tahes arendusi ning analüüsida saadud andmeid ilma üldisi lähenemisi ja enda struktuuri muutmata.

IP auditi praktika

Joonisel fig. Joonisel 2 olev vooskeem kajastab, kuigi mitte üksikasjalikult, IP auditi läbiviimise põhipunkte. Vaatleme neid üksikasjalikumalt.
Loa esmase dokumentatsiooni koostamise ja allkirjastamise etapis määratakse auditi piirid:
Auditi piirid määravad IS kriitilised punktid (IS elemendid), milles tekivad kõige sagedamini probleemsed olukorrad.
Kogu IS-i eelauditi tulemuste põhjal (esimesel lähendusel) viiakse läbi tuvastatud probleemide süvaaudit.
Samal ajal luuakse auditi meeskond, määratakse Kliendi poolt vastutavad isikud. Koostatakse ja kooskõlastatakse vajalik dokumentatsioon.
Edasi kogutakse infot ISi hetkeseisu kohta CoBiT standardi abil, mille juhtobjektid saavad infot kõigi ISi toimimise nüansside kohta nii binaarsel kujul (jah / ei) kui ka üksikasjalike aruannete kujul. . Teabe detailsus määratakse esmase loadokumentatsiooni väljatöötamise etapis. Info hankimise kulude (aeg, kulu jne) ning selle tähtsuse ja asjakohasuse vahel on teatav optimum.
Analüüsi läbiviimine on IP auditi kõige kriitilisem osa. Ebausaldusväärsete, aegunud andmete kasutamine analüüsis on lubamatu, seetõttu on vajalik andmete täpsustamine, teabe põhjalik kogumine.
Analüüsile esitatavad nõuded määratakse kindlaks teabe kogumise etapis. Infoanalüüsi meetodid on CoBiT standardis olemas, kuid kui neist ei piisa, siis ei ole keelatud kasutada ka teiste ISACA poolt lubatud ettevõtete arendusi.
Analüüsi tulemused on aluseks soovituste väljatöötamisele, mille teostatavust ja asjakohasust tuleks pärast eelnevat Kliendiga kokkuleppimist kontrollida, võttes arvesse rakendamise riske.
Soovituste elluviimise jälgimine on oluline etapp, mis nõuab konsultatsioonifirma esindajate poolt pidevat jälgimist soovituste elluviimisel.
Täiendava dokumentatsiooni väljatöötamise etapis tehakse tööd, mille eesmärk on luua dokumente, mille puudumine või puudused võivad põhjustada tõrkeid IS-i töös. Näiteks eraldi põhjalik käsitlemine IP-turvalisuse küsimustes.
Pidev auditeerimine tagab IS stabiilsuse, seega on järgnevate auditite ajakava koostamine üks professionaalse auditi tulemustest.

Auditi tulemused

Organisatsiooni IP-auditi tulemused võib jagada kolme põhirühma:
1. Organisatsiooniline - IS-i toimimise planeerimine, juhtimine, dokumendihaldus.
2. Tehniline - rikked, rikked, IS elementide töö optimeerimine, pidev hooldus, infrastruktuuri loomine jne.
3. Metoodilised - lähenemised probleemsituatsioonide lahendamisele, juhtimisele ja kontrollile, üldisele korrastamisele ja struktureerimisele.
Audit võimaldab teil mõistlikult koostada järgmised dokumendid:
Pikaajaline plaan IP arendamiseks.
Organisatsiooni IP-turvapoliitika.
Töö metoodika ja organisatsiooni IS viimistlemine.
IP taastamise plaan hädaolukorras.

Teabe esitamise nõuded

ISACA on välja töötanud ja vastu võtnud auditi aruandluse nõuded. CoBiT standardi rakendamine tagab nende nõuete täitmise.
Peamine nõue on teabe kasulikkus. Selleks et teave oleks kasulik, peavad sellel olema teatud omadused, sealhulgas:
1. Selgus. Teave peab olema teatud teadmiste tasemega kasutajale arusaadav, mis aga ei tähenda vajadusel keerulise info välistamist.
Asjakohasus. Teave on asjakohane või asjakohane, kui see mõjutab kasutajate otsuseid ja aitab neil hinnata mineviku-, oleviku- ja tulevikusündmusi või kinnitada ja korrigeerida minevikuhinnanguid.
Teabe asjakohasust mõjutavad selle sisu ja olulisus. Teave on oluline, kui selle puudumine või väär hindamine võib mõjutada kasutaja otsust. Asjakohasuse tunnuseks on ka teabe õigeaegsus, mis tähendab, et kogu asjakohane teave lisatakse aruandesse õigeaegselt, viivituseta ning selline aruanne esitatakse õigeaegselt.
Asjakohasuse põhimõtte teatud analoogiks siseriiklikus praktikas võib olla aruandeperioodi tehingute kajastamise täielikkuse nõue, kuigi kogu teabe kajastamise nõue ei ole identne olulise teabe kajastamise nõudega.
Usaldusväärsus, usaldusväärsus. Teave on usaldusväärne, kui see ei sisalda olulisi vigu ega kallutatud hinnanguid ning kajastab majandustegevust tõepäraselt. Et teave oleks usaldusväärne, peab see vastama järgmistele omadustele:
- tõepärasus;
- neutraalsus - teave ei tohiks sisaldada ühekülgseid hinnanguid, see tähendab, et teavet ei tohiks teatud tulemuse saavutamiseks esitada valikuliselt;
- ettevaatlikkus - valmisolek võtta arvesse võimalikke kahjusid, mitte potentsiaalset kasumit ja selle tulemusena - reservide loomine. Selline lähenemine on asjakohane ebakindluse olukorras ega tähenda varjatud reservide loomist ega teabe moonutamist;
- teabe piisavus - sisaldab sellist tunnust nagu teabe täielikkuse nõue nii selle olulisuse kui ka ettevalmistamise maksumuse osas.

Siseturu vajadus selle teenuse järele

IP auditi vajaduse hindamisel tuleb keskenduda järgmistele punktidele (vt tabel 1):
lahendatavate ülesannete keerukus - IS-i poolt lahendatavate ülesannete pidev kasv nii kvantitatiivselt kui ka kvalitatiivselt;
IS-i hargnemine - hoolduse keerukus, territoriaalne jaotus;
äriväljavaated - uued suunad, turud, töötingimused;
organisatsiooni juhtimine – juhtide oskus ja soov mõelda strateegiliselt, näha parimatel praktikatel põhineva standardse lähenemise avanevaid väljavaateid.
Kes on huvitatud auditi läbiviimisest? Esiteks on need äri- või eelarvelised organisatsioonid ja ettevõtted, kes õigustavad investeeringuid IP-sse, süsteemiintegraatorid, IT-ettevõtted, et hinnata IP mõju põhitegevusele ja laiendada pakutavate teenuste valikut.
Finantsauditit läbiviivatele ettevõtetele - IP audit, lisateenus, mis võib tõsta ettevõtte reitingut turul.
Tööde peatöövõtjad tunnevad huvi võimalusest hinnata IT-valdkonna alltöövõtjate tööd.
Ja ka IP-auditi läbiviimine vastavalt CoBiT standardile pakub huvi kõigile ettevõtetele ja organisatsioonidele, kellel on või kavatsevad luua IP ja kes on huvitatud vastuste saamisest selle artikli sissejuhatuses esitatud küsimustele.

Tabel 1. Auditi tulemused.

Teie ettevõttes on juba juurutatud infosüsteem, mis peaks justkui hõlbustama rutiinseid toiminguid, optimeerima tööd, kuid tegelikkuses selgub, et protsessid on muutunud veelgi keerulisemaks ning haldamine ja pidevad IS-i seadistused nõuavad järjest rohkem ressursse. Mis on põhjus? Mida on valesti tehtud? Kas teie ettevõte vajab IP-d üldse ja kui jah, siis millist? Milliseid ülesandeid peaks teie infosüsteem lahendama? Nendele ja teistele küsimustele saab vastuse vaid pädev põhjalik audit, olemasolevate süsteemide ja teie ettevõtte spetsiifika uurimine.

Enne ettevõtte infosüsteemi väljatöötamist viiakse läbi juhtimissüsteemide, planeerimise, raamatupidamise, aruandluse, töövoo jms audit. Eesmärk on leida kasvupunktid ja optimeerida kliendi äri. Võttes arvesse analüüsiandmeid, töötavad spetsialistid iga konkreetse ettevõtte jaoks välja CIS-i (corporate information system). Analüüsitakse ka ettevõttes juba töötavaid infosüsteeme, nende tõhususe astet ja konkreetsete lahenduste kasutamise otstarbekust.

Kaasaegne IS (infosüsteem) on omavahel seotud skeemide ja algoritmide kompleks, samas kui kogu ettevõtte efektiivsus sõltub otseselt selle ülesehituse kirjaoskusest. Infosüsteemi audit võimaldab teil vastata sellistele olulistele küsimustele nagu:

• IP vastavus taotletavatele eesmärkidele ja ettevõtte tegevuse spetsiifikale;
• andmekaitse tase sisemiste ja väliste negatiivsete tegurite eest;
• infotehnoloogia integreerimise aste ettevõtte äriprotsessidesse.

IS-i audit sisaldab IT-teenuse efektiivsuse analüüsi, ettevõttes läbiviidavate protsesside automatiseerituse taset, hinnangut dokumendihalduse ja ajakirjanduse kvaliteedile. Selle omamine annab võimaluse saada võimalikult täielikku teavet võimalike riskide, ettevõtte IT infrastruktuuri seisukorra kohta.

IP tõhususe audit hõlmab järgmisi tegevusi:

• IT-taristu inventuur (kontrollitakse ettevõttes kasutatavaid seadmeid ja tarkvara);
• IT-objektide koormuse näitajate määramine;
• statistiliste andmete, samuti inventuuri käigus saadud teabe hindamine;
• IS-i funktsionaalsuse ärinõuetele vastavuse määra kindlaksmääramine;
• auditi tulemuste kohta aruande kirjutamine;
• soovituste väljatöötamine IP optimeerimiseks;
• NSI fondi vormistamine.

Infosüsteemide auditi tulemused:

• kasutatava IS-i madala efektiivsuse tegelike põhjuste väljaselgitamine;
• oskus teha teadlik otsus oma tootlikkuse tõstmiseks, olgu selleks siis moodsama varustuse soetamine, varem kasutatud IS täiustamine või selle asendamine uuega;
• prognooside tegemine selle kohta, kuidas IS käitub infovoogude muutumise korral (tehingute koguarvu, kasutajate arvu kasv jne);
• kättesaadavate ja mõistlike soovituste saamine IT-osakondade töö parandamiseks, infotehnoloogia kulude optimeerimiseks, samuti IT-teenuste kvaliteedi parandamiseks mõeldud meetmete määramiseks.

Pole olemas universaalseid infosüsteeme, mis sobiksid eranditult kõigile ettevõtetele. Võttes aluseks 1C või Oracle'i platvormi, peate tegema mitmeid sätteid, lisama vajaliku funktsionaalsuse, lülitama üleliigse välja - täitma kõik teabemehhanismid teie ettevõtte jaoks ideaalselt. Esimene samm optimaalsete lahenduste leidmisel võib olla ettevõtte infosüsteemi või, nagu seda tavaliselt nimetatakse, ettevõtte infosüsteemi audit.

IT-audit võimaldab saada ajakohast teavet süsteemi praeguse toimimise taseme kohta ja töötada välja meetmed selle tõhustamiseks. IT-auditi põhieesmärk on võrrelda organisatsiooni olukorda võrdlusmudeliga: standardid, regulatsioonid, parimate praktikate kogumid, kolmanda osapoole ettevõtte regulatsioonid. Teisisõnu võimaldab infosüsteemide audit aru saada ja fikseerida erinevuse IT-osakonnas tavapärasest ja olemasolevast rutiinist.

Erinevate tööstusharude ettevõtete toimimiseks vajalike äriprotsesside tagamine eeldab kohalike ja globaalsete infosüsteemide juurutamist. Andmeedastussüsteemide oluline roll ettevõtete tegevuses tingib vajaduse arendada ja saavutada IT infrastruktuuri optimaalne funktsionaalsustase. IT-süsteemide toimimisele seatakse mitmeid nõudeid, nagu kiire juurdepääs ressurssidele, konfigureerimise lihtsus, paindlikkus ja mastaapsus, turvalisus ja kõrge töökindlus.

Populaarsemate standardite hulgas, mida Aplana spetsialistid oma töös kasutavad, on: PMBok projektijuhtimise teadmiste kood, CMMI tarkvaraarenduse protsessi küpsusmudel organisatsioonides ning ITIL / ITSM lähenemine IT-teenuste haldamisel ja korraldamisel.

Meie juures tehtava IT-auditi peamised eelised

Paljud ärijuhid erinevates ärisektorites on juba pikka aega kasutanud meie teenuseid, et tagada infosüsteemide kõrge jõudlus ja töökindel töö. Tegutseme sõltumatute konsultantidena, kes uurivad olukorda erinevate nurkade alt ja aitavad tuvastada olemasolevaid süsteemi puudusi.

Aplana spetsialistide poole tasub pöörduda, kui on vaja välja selgitada teatud süsteemide aeglase arengu põhjus, suutmatus püstitatud äriülesannetega toime tulla. Kõige keerulisem ülesanne on infotehnoloogia investeeringute ümberstruktureerimine. Aitame juhil aru saada, kui ratsionaalselt on IT erinevatesse valdkondadesse investeerimine ning kas nende ümberjagamine on võimalik.

IT-auditi läbiviimise maksumus organisatsioonis sõltub igast konkreetsest juhtumist. Usaldades teenuste osutamise Aplana spetsialistidele, võite alati olla kindel, et saate mitmeid eeliseid:

Vabastage end analüütikute sisemistest töötajatest ega vaja pikka ja kulukat pädevate spetsialistide arendustööd

Saate oma ala professionaalidelt sõltumatu eksperthinnangu

Saate valmis plaani infoprotsesside igakülgseks optimeerimiseks

Enne sertifitseerimisauditeid tehke näiteks ISO standardi järgi "rõivaproov".

Auditi sordid

• Terviklik IT-audit on tarkvaraarenduse ja tugiosakondade töö terviklik ja terviklik analüüs, tuvastades ebaefektiivsed elemendid, praktikad, meetodid, ebakõlad teatud kriteeriumide ja kindlaksmääratud standarditega.
• IT-osakondade protsessiaudit - tehnoloogiate ja tarkvara tootmisprotsessi analüüs võrdlusmudelitega.
• Infosüsteemi audit selle kasutamise õigsuse osas võrreldes nimetatud standardite või maailma parimate tavadega.
• Organisatsioonistruktuuri audit – IT-osakonna personalistruktuuris esinevate lünkade ja probleemide tuvastamine.​
• Kvaliteedikontrolli protsesside audit - testimisprotsesside seisu eksperthinnang vastavalt TMMI mudelistandardile.

Peamised eesmärgid

• "pudelikaelade" tuvastamine ja süsteemi ebaefektiivse kasutamise tuvastamine. Selle tulemusena saab klient valmis soovituste komplekti tuvastatud puuduste parandamiseks.
• Defektide kõrvaldamise protsessi maksumuse ja kestuse hinnang.
• Erinevate kategooriate ressursside vajaduse määramine: finants-, tööstus-, intellektuaalne jne.
• Optimaalsete tööriistade valik kavandatavate muudatuste elluviimiseks, arvestades ettevõtte sisemist eripära.

Arendusprotsesside auditit viivad läbi Aplana spetsialistid, et fikseerida erinevus olemasolevate tarkvaraarendusprotsesside ja valitud standardsete protsesside vahel. Üks teenuste osutamise põhijooni on keskendumine ettevõtte peamistele ärieesmärkidele. See võimaldab täpsemalt sõnastada soovitusi IT-süsteemide efektiivsuse tõstmiseks, võimalike riskide vähendamiseks ja kõrvaldamiseks meetmete võtmiseks, kulude optimeerimiseks koos arendajate töö kvaliteedi tõstmisega.

Audit on muudest IT-konsultatsiooniteenustest sõltumatu ja seda saab läbi viia ettevõtte igas arenguetapis. Metoodika väljatöötamisel lähtutakse reeglina auditi tulemustest.

Sissejuhatus

Automatiseeritud infotehnoloogiad auditeerimisel

Auditi infotehnoloogia tarkvara

Järeldus

Bibliograafia

Sissejuhatus

Venemaa majandusreform on tinginud vajaduse luua ja arendada uusi majandusinstitutsioone, mis reguleerivad erinevate äriüksuste vahelisi suhteid, mille hulgas peaks oma õigele kohale asuma auditi institutsioon, mis on turusuhete lahutamatu osa. Venemaa auditi kujunemise ja arendamise kogemus näitas arenenud kapitalistlike riikide metoodika otsese ülekandmise võimatust postsovetliku perioodi ümberkorraldatud majandusse. Seetõttu käib praegu aktiivne töö auditi ja üldiselt audititegevuse arendamise kontseptsiooni loomisel Venemaa tingimustes.

Selle kontseptsiooni loomise peamisteks eesmärkideks on ehitada üles Venemaa majanduse vajadustele vastav auditi toimimismudel, täiustada auditite läbiviimise vorme ja meetodeid, võttes arvesse auditi arengut Venemaal ja rahvusvaheliste standardite nõudeid. raamatupidamise ja auditeerimise jaoks.

Kaasaegsetes tingimustes peaks auditi ja üldiselt audititegevuse kujundamine olema suunatud ennekõike auditi kontrollifunktsiooni rakendamisele ja tugevdamisele, mida on võimalik saavutada ainult kinnitavalt kontrollilt ülemineku tulemusena. süsteemile orienteeritud auditi mudelile. Selline lähenemine eeldab teaduslike teadmiste vahendite ja meetodite ning eriti modelleerimismeetodi aktiivset kasutamist, mis kasutab kaasaegse matemaatika ja infotehnoloogia võimsaid vahendeid. Infomodelleerimine võimaldab uurida auditeerimistegevuse tunnuseid, omadusi, seoseid, selle arengusuundi Venemaal ja välismaal. Audititegevuse teave ja matemaatiline modelleerimine peaksid saama Venemaa auditi toimimise mudeli loomise protsessi aluseks.

Audititegevuse arvutiinfosüsteemi ülesanded

Audititegevuseks mõeldud arvutiinfosüsteemi (CIS AD) kujundamise praktikas on nende loomisel võimalik jälgida kahte põhimõtteliselt erinevat lähenemist.

1. Testide (töölehtede) komplekti kasutamine, mille eesmärk on sisestada teavet teatud raamatupidamisreeglite järgimise kohta. Sel juhul ignoreeritakse täielikult või osaliselt kliendi raamatupidamisinfot. See tee võib kaasa tuua märkimisväärse vigade puudumise riski, seega on teine ​​​​lähenemine paljutõotavam.

2. Orienteerumine kliendi esmasele informatsioonile, mis kajastab äritehinguid sünteetilisel ja analüütilisel tasandil. Sellisel juhul kulub kliendiandmete sisestamiseks märkimisväärselt aega.

Teise lähenemisviisi raames on CIS-reklaami loomiseks kaks võimalust:

1) auditi etappide kaupa arvutiseerimise süsteem;

2) ülesannete komplekside auditi arvutistamise süsteem.

Auditi arvutiseerimissüsteem etappide kaupa hõlmab võrguarhitektuuri kasutamist ja kõigi andmete salvestamist ühte andmebaasi, millele süsteemi kasutajatel peab olema vastava taseme volitatud juurdepääs. Kasutajatele antakse süsteemiga töötamiseks erinevad õigused, mis lihtsas versioonis jagunevad kaheks tasemeks: auditijuht ja audiitorid. Kogu andmebaasi salvestatud teave peaks olema samaaegselt kättesaadav kõigile auditirühma liikmetele.

CIS AD tingimustes on audiitori töö tehnoloogia kolm etappi:

1) ettevalmistav etapp;

2) auditi läbiviimine;

3) viimane etapp.

Ettevalmistavas etapis uuritakse ja salvestatakse andmebaasi infot kliendi kohta, pearaamatu andmeid, finantsaruandeid ja muud teavet. Audiitori uurimus auditeeritava majandusüksuse raamatupidamis- ja sisekontrollisüsteemist on määratud tema poolt kasutatava arvutiandmete töötlemise süsteemiga (CDP).

Auditi läbiviimisel COD süsteemis säilib auditi läbiviimise meetodite määramise eesmärk ja põhilised lähenemised. RCD mõjutab aga majandusüksuse raamatupidamis- ja sisekontrollisüsteemide audiitori kontrolli. Selle põhjuseks on asjaolu, et masinloetaval andmekandjal olevad raamatupidamisdokumendid toimivad audiitori jaoks teabeallikatena, arvuti mällu salvestatakse püsiv viiteinfo ning kasutatakse automatiseeritud raamatupidamisvormi.

COD keskkonnas töötades uurib audiitor andmetöötluse organisatsioonilist vormi, raamatupidamisvormi ja selle automatiseeritud sektsioone, lokaalse või võrgu andmetöötluse võimaluse kasutamist ning andmete arhiveerimise ja salvestamise pakkumist. Audiitor peaks kirjeldama ka KOODI tehnilist, tarkvaralist ja tehnoloogilist tuge. Arvutisüsteemi võimekust hindab ta paindlikult reageerimises majandusseadusandluse muutustele, juhtimisaruandluse kujundamisele, analüütiliste protseduuride rakendamisele, aga ka infotehnoloogia valdkonna raamatupidamispersonali kvalifikatsiooni astmele.

Kliendi COD-süsteemi auditi käigus on audiitoril vaja täita järgmised ülesanded

1. Vajalik on tutvuda andmetöötluse organisatsioonilise vormi ja juhtimisülesannete, sh raamatupidamisülesannete automatiseerituse tasemega. Väikeettevõtetes, kus andmetöötlust teostab üks raamatupidaja, on raamatupidamistarkvara ja infobaas koondatud ühte arvutisse. Kui raamatupidamisosakonnas töötab rohkem kui üks inimene, siis räägime mitme kasutaja süsteemidest, mis juurutavad raamatupidamise infobaasiga mitme kasutaja tööd. Audiitor peaks mõistma peamisi erinevusi nende tehnoloogiate vahel, kuna see mõjutab tema määratletud auditiprotseduure ja auditi riski.

2. Audiitor peab hindama automatiseerimisülesannete valiku õigsust ja avaldama arvamust ülesannete, raamatupidamise valdkondade, osakondade töö kohta, kus arvutiandmete töötlemise tehnoloogia kasutamine annab suurima efekti. Esiteks on automatiseeritav kõige ülekoormatud osakondade töö, mis aeglustavad ettevõtte tööd. Kõigepealt on vaja automatiseerida nõuete arvestus ja analüüs.

3. Audiitor peaks auditi käigus uurima ja hindama organisatsiooni dokumendihaldussüsteemi: dokumentide vormistamise, registreerimise, säilitamise, töötlemise ja esmaste dokumentide raamatupidamisarvestuse kannete süsteemiks muutmise korda. Tuleb välja selgitada esmase teabe tekkekohad ning selle kogumise ja registreerimise määr. Selleks peab audiitor tutvuma ettevõttes juhtivtöötajate automatiseeritud töökohtade paigutusega.

4. Audiitor peab iseloomustama andmete sisestamise ja majandustehingute arvestuse moodustamise meetodeid. Standardsete tehingute ja elektrooniliste dokumentide vormide alusel automaatne ja automaatne raamatupidamiskirjete ja konteeringute genereerimine võimaldab vältida paljusid vigu, mis on kirjete käsitsi sisestamisel ja genereerimisel vältimatud. Viga võib sisaldada ka tüüpilist juhtmestikku või elektroonilist vormi, mida tuleb kontrollida. Tuleb uurida äritehingute info säilitamise korraldust ning äritehingute, dokumentide info kiire saamise ja väljatrükkimise võimalust.

Kohustuslik auditiprotseduur on raamatupidamiskoodide süsteemi sisestatud andmete testimine. See protseduur hõlmab "paber" versioonis dokumentide täielikkuse testimist ja paberdokumentide vastavust nende süsteemi sisestatud elektroonilistele koopiatele. Selle kirjavahetuse puudumine on signaal, et aruandlus on ebausaldusväärne.

6. Audiitor peab veenduma, et infosüsteemi andmed on turvalised, andmetele kergesti ligipääsetavad ja neile on volitamata juurdepääs piiratud.

7. Erilist tähelepanu pööratakse sisekontrollide töökindluse kontrollimisele COD keskkonnas. Audiitor on kohustatud tuvastama arvutiarvestussüsteemide kontrolli nõrkused: kaaluma riist- ja tarkvara kontrolle, organisatsioonilisi meetmeid (andmete arhiveerimine, viirustestimine). Ta peab analüüsima viise, kuidas korraldada kontrolli esmase teabe infobaasi sisestamise täielikkuse ja õigsuse, andmete kontrolli, töötlemise ja valiku üle, hinnata nende piisavust ja tõhusust. Mitme kasutajaga võrgusüsteemides tuleks tähelepanu pöörata andmeedastusprotsessile.

8. Audiitor peab hoolikalt kontrollima arvutusalgoritmide õigsust.

Arvutusalgoritmile omane viga, mida korduvalt rakendatakse korduvate äritehingute puhul, võib moonutada majandustegevuse tulemust.

Pärast nende ülesannete täitmist viiakse saadud teabe põhjal läbi esialgne finantsanalüüs, olulisuse ja auditiriski taseme hindamine, koostatakse üldine auditiplaan ning jaotatakse vastutus auditimeeskonna liikmete vahel. .

Finantsaruannete auditeerimisest tulenevate audiitori riskide määramisel tuleks COD mõjust tulenevalt juhinduda reeglist (standard) "Riski hindamine ja sisekontroll. Arvuti- ja infosüsteemikeskkonna iseloomustus ja arvestus".

Auditi planeerimine COD-süsteemis toimub vastavalt reeglile (standard) "Auditi planeerimine".

Arvutite abil auditi kavandamisel tuleks arvestada: auditiorganisatsiooni varustamine nii auditi läbiviimiseks kui ka arvuti abil auditiga seotud teenuste osutamiseks vajalike seadmetega; auditi alustamise kuupäev, mis peab vastama majandusüksusega kokkulepitud kujul audiitorile andmete esitamise kuupäevale; asjaolu, et töösse on kaasatud infotehnoloogia valdkonna eksperdid; audiitori teadmised, kogemused ja kvalifikatsioon infotehnoloogia valdkonnas; arvutit kasutamata toodetud testide kasutamise otstarbekust; arvutikasutuse tõhusus auditi ajal. Üldplaani ja auditiprogrammi koostamisel tuleks arvestada raamatupidamisinfo töötlemise automatiseerituse astmega, majandusüksuses kasutatavate infotehnoloogiatega.