Использование информационных систем в аудите
Контрольная работа - Бухгалтерский учет и аудит
Другие контрольные работы по предмету Бухгалтерский учет и аудит
огией для ежедневного использования администраторами и аудиторами информационных систем.
.2 CoBiT
В помощь профессиональным аудиторам, руководителям отделов информационно-технической поддержки, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан открытый стандарт CoBiT, первое издание которого в 1996 году было продано в 98 странах и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий получить адекватное представление о целях и задачах информационной системы, учитывая все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимая во внимание все утвержденные ранее стандарты и нормативные документы: технические стандарты, кодексы, профессиональные стандарты, требования и рекомендации, требования к банковским услугам, системам электронной торговли и производству.
Стандарт CoBiT может применяться как для аудита информационной системы организации, так и на этапе ее проектирования. Если в первом случае проверяется соответствие текущего состояния информационной системы передовой практике аналогичных организаций и предприятий, то во втором использование стандарта позволяет спроектировать информационную систему, стремящуюся к идеальному соотношению цена / качество.
Четыре базовые группы (домены) содержат в себе 34 подгруппы, которые в свою очередь состоят из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии информационной системы.
Отличительными чертами CoBiT являются большая зона охвата (все задачи, от стратегического планирования и основополагающих документов до анализа работы отдельных элементов информационной системы), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.
В области стандартизации аудита информационных систем существуют многочисленные западные, а также российские разработки, однако CoBiT отличает прежде всего возможность относительно легкой адаптации к особенностям российских информационных систем и то обстоятельство, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Они могут быть обусловлены критическими точками информационной системы (элементами, в которых наиболее часто возникают проблемные ситуации), либо принимается решение о проведении полного аудита с последующей углубленной проверкой выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии информационной системы в соответствии со стандартом CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования информационной системы, как в двоичной форме (Да / Нет), так и в форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее актуальностью.
Анализ - наиболее ответственная часть аудита. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации имеются в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа становятся базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации создаются документы, отсутствие которых, например документов, содержащих углубленное рассмотрение вопросов обеспечения безопасности информационной системы, может вызвать сбои в ее работе.
Постоянное проведение аудита гарантирует стабильность функционирования информационной системы, поэтому создание плана-графика последующих проверок является одним из результатов профессионального аудита.
.3 Использование CoBiT в Сбербанке
Бизнес банка чрезвычайно широк, и на всем этом оборудовании работает большое количество прикладных систем. Обслуживание этого обширного хозяйства ИТ-персоналом до начала внедрения системы управ