Использование информационных систем в аудите
Контрольная работа - Бухгалтерский учет и аудит
Другие контрольные работы по предмету Бухгалтерский учет и аудит
?, технического) как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров;
дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом;
факт привлечения к работе экспертов в области информационных технологий;
знания, опыт и квалификацию аудитора в области информационных технологий;
целесообразность использования тестов, производимых без использования компьютеров;
эффективность использования компьютера при проведении аудита.
В программе аудита целесообразно отметить, какие аудиторские процедуры будут выполнены с применением компьютеров.
Для планирования аудита с использованием компьютеров важно оценить систему КОД экономического субъекта, изучив следующие моменты:
особенности информационного, программного и технического обеспечения экономического субъекта;
особенности организационной формы обработки данных у экономического субъекта (например, осуществляет ли обработку специальное подразделение или компьютеры установлены на рабочих местах бухгалтерского персонала и обработка данных осуществляется непосредственно бухгалтерами; ведется ли обработка данных экономическим субъектом самостоятельно или ведется по договору с третьей стороной и т.п.);
разделы и участки учета, функционирующие в среде КОД;
способ передачи данных (с использованием каналов связи, через внешние носители (например, дискеты), ввод данных с клавиатуры);
особенности обеспечения архивирования и хранения данных;\
особенности размещения: являются ли рабочие места локальными или они объединены в сеть.
1.3 Риски информационных технологий
Исторически под термином риск информационных технологий, или ИТ риск, подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности - вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.
Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:
выбора неоптимального решения по автоматизации;
ошибок при проектировании;
нарушения расчетных сроков и бюджета проекта;
несоответствия между инфраструктурой и решениями по автоматизации;
технических и организационных ошибок при инсталляции систем.
На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
-неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
-неиспользование всего потенциала технологий;
-невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
-неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
-ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.
Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть информационную систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень ИТ-рисков и тем больше эффективность использования информационных технологий. При формирования информационной системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)
2. Контрольные объекты информационной технологии
.1 ISACA
Подход к предоставлению аудита информационной системы как отдельной самостоятельной услуги с течением времени упорядочился и стандартизировался. Крупные и средние консалтинго-аудиторские компании образовали ассоциации - союзы профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое ноу-хау. Однако существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита информационных систем (
Основная декларируемая цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технол