Компьютерные информационные системы в аудите - ABCD42.RU

Компьютерные информационные системы в аудите

Аудит в среде компьютерных информационных систем

В 2001 г. исполнилось 20 лет с момента появления персонального компьютера: в 1981 г. компания IBM представила первую модель настольной компьютерной системы. Компьютер стоимостью 3000 долл. обладал оперативной памятью объемом всего лишь 16 Кб, работал в операционной системе DOS, не имел графического интерфейса, мыши. Емкость флоппи-диска составляла 160 Кб.

В 1990 г. появляется операционная система Microsoft Windows, в 1991 г. — World Wide Web (WWW — «всемирная паутина»). С этого момента развитие компьютерных информационных технологий происходит революционными темпами. Персональный компьютер стал использоваться во всех сферах общественной жизни, в том числе и при проведении аудита.

На сегодняшний день трудно представить аудиторскую проверку без использования компьютеров. Последние помогают аудиторам решать разнообразные задачи, в том числе:

  • в области методического обеспечения: разработка сложных аналитических электронных таблиц, на их основе — создание диаграмм; возможна алгоритмизация контрольно-аудиторского процесса и создание специальных прикладных аудиторских программ (автоматизированных рабочих мест (АРМ) аудитора); многократно ускоряется применение традиционных аудиторских процедур (арифметического пересчета, группировки, ранжирования и др.), носящих рутинный характер; более эффективно используются экономико-математические методы в аудите (сетевые модели, симплекс-метод, транспортная задача и др.);
  • в области информационного и коммуникационного обеспечения: ускорение процессов получения и обработки информации из баз данных клиента — АРМ бухгалтера, систем складского учета и др.; организация рационального документирования информации, полученной аудитором в ходе проверки («безбумажный» вариант); обеспечение нормативно-правовыми актами (системы Консультант-Плюс, Гарант и др.); возможность использования средств Internet (для поиска необходимой справочной информации о ценах, поставщиках товароматериальных ценностей и др.) и электронной почты;
  • прочие (стандартные) задачи: использование возможностей редактирования текстов и электронных таблиц (при написании аудиторского заключения, рабочих документов аудитора); создание презентаций, баз данных и др.

В то же время использование клиентом компьютерных информационных систем накладывает отпечаток на организацию проведения проверки (в первую очередь на этапах планирования, определения допустимого уровня аудиторского риска) и выбор аудиторских процедур (в ходе непосредственного проведения проверки), т.е. аудит в условиях применения клиентом средств компьютерной обработки финансовой информации имеет свои особенности.

В результате возникла необходимость нормативного регулирования вопросов, связанных с использованием компьютеров в аудите. Для решения данной проблемы Международный комитет по аудиторской практике утвердил и рекомендовал МСА № 401 «Аудит в среде компьютерных информационных систем» («Auditing in a computer information systems environment»).

Так, указанным выше нормативным документом особо отмечается, что при планировании и проведении проверки в условиях электронной обработки данных аудитору необходимо оценить степень влияния компьютерной информационной системы клиента на величину аудиторского риска (в первую очередь на его первые две составляющие: неотъемлемый риск и риск системы внутреннего контроля).

Аудитору следует также определить уровень автоматизации и степень сложности применяемого компьютерного программного обеспечения для ведения бухгалтерского учета. В рамках изучения данного вопроса оценивается процент охвата бухгалтерского учета автоматизированной обработкой данных. Практика показывает, что на отечественных предприятиях встречаются три основных уровня автоматизации бухгалтерского учета:

  • низший: подавляющее большинство объектов бухгалтерского учета не охвачены компьютерной обработкой данных (несмотря на высокий уровень развития современных информационных технологий, на многих отечественных предприятиях такая ситуация по-прежнему имеет место);
  • средний: имеется разрозненное программное обеспечение для отдельных объектов учета (например, АРМ «Учет кассы и операций в банке», «Учет материалов», «Учет товаров», «Учет труда и заработной платы» и др.), при этом чаще всего отсутствует автоматизированная связь отдельных модулей с регистрами синтетического учета (итоговые сальдо и обороты из разных программ в Главную книгу заносятся вручную);
  • высший: единое (комплексное) программное обеспечение для всех объектов учета. В данной системе бухгалтер (или напрямую материально ответственное лицо) заносит бухгалтерские проводки, а группировка и обобщение финансовой информации (в виде финансовой отчетности) происходит автоматически, минуя регистры аналитического и синтетического учета (характерным признаком данной системы является наличие непосредственной автоматизированной связи «бухгалтерская запись — отчетность»).

Без сомнения, внедрение средств компьютерной обработки бухгалтерских данных имеет свои преимущества: компьютерная информационная система намного более информативна по содержанию и прозрачна для пользователей, что уменьшает риск системы внутреннего контроля. Такая система позволяет формировать «свои» разнообразные (неунифицированные) информационные отчеты для разных пользователей (руководители высшего уровня, менеджеры среднего и низшего звеньев управления, разнообразные аналитические и контролирующие службы). Доступность информации обеспечивается наличием общей компьютерной сети и системой паролей. Компьютерные информационные системы позволяют группировать и классифицировать данные бухгалтерского учета по разным основаниям, таким образом в единой системе возможно совмещение форм финансового и управленческого учета; средства компьютерной обработки данных снижают до минимума степень риска неправильного арифметического подсчета, ошибочного разнесения проводки по регистрам бухгалтерского учета, в определенных ситуациях — изменения содержания хозяйственной операции и т.д.

В то же время применение компьютеров имеет и свои недостатки:

  • актуализируется проблема информационной безопасности предприятия. Так, прозрачность информации и всеобщая доступность данных могут быть интересны не только для руководства, экономических и производственных служб предприятия, но и для конкурентов. Например, информация о производственной себестоимости определенной продукции позволяет спрогнозировать предельно допустимые уровни цен, прибыли и т.д., т.е. относится к категории коммерческой тайны. Данная проблема решается обеспечением ограниченного доступа (санкционирования) к отдельным информационным ресурсам строго определенных должностных лиц при наличии производственной необходимости с помощью паролей;
  • возрастают требования к необходимому уровню квалификации работников, с чем связаны дополнительные затраты на обучение;
  • может возникнуть проблема автоматической (без ведома людей) генерации проводок (например, в банках при начислении процентов по вкладам или за пользование кредитными ресурсами). Такие хозяйственные операции трудно поддаются контролю, и при проведении проверки аудитором на них следует обращать особое внимание;
  • вероятность возникновения непредвиденных программных ошибок, сбоев, наличие угрозы порчи и уничтожения информации (при этом необходимо проанализировать то, с какой периодичностью осуществляется архивирование баз данных, тестирование компьютеров на наличие вирусов, программных сбоев и т.д.);
  • ограниченный доступ к определенным информационным ресурсам предприятия не только позволяет скрыть их от внимания конкурентов и других несанкционированных пользователей, но и создает угрозу злоупотреблений со стороны должностных лиц — работников данного предприятия, снижает степень внутреннего контроля. Из истории аудиторской деятельности за рубежом известны случаи, когда бухгалтеры небольших организаций убеждали своих руководителей перейти с ручной системы учета денежных средств в банке на автоматизированную, преграждали доступ к компьютерной программе любым лицам, бесконтрольно переводили денежные средства с расчетных счетов предприятия на свои личные счета, о чем никто даже и не догадывался;
  • компьютерные информационные системы могут привести также к другому «заболеванию», а именно: «размыть» четкое распределение обязанностей между работниками внутри организации. Так, далеко не во всех компьютерных программах есть возможность определить, кем была совершена хозяйственная операция, кем и когда соответствующая проводка была занесена в программу (или изменена, удалена из нее). Отсутствие «следов» и четкого разграничения функций, одновременная работа в одной информационной системе сразу нескольких пользователей могут привести к тому, что в случае возникновения ошибок по вине конкретного работника найти и привлечь последнего к ответственности будет крайне сложно. Таким образом, снижается степень управляемости компьютерных информационных систем, что негативно отражается на всей системе внутреннего контроля аудируемого предприятия. В ряде компьютерных проектов такая проблема решается путем однозначной идентификации (по персоналии и времени совершения) хозяйственных операций.
Читайте также  Технология продукции общественного питания

Для аудитора компьютерные информационные системы, как отмечалось ранее, позволяют ускорить процесс проведения аудита. На Западе разработаны специальные аудиторские программы, которые называются «Методы аудита с использованием компьютеров» (Computer-assisted audit techniques (CAAT)). В частности, такими проектами решаются следующие проблемы: организационные (расчет уровня существенности, аудиторского риска и необходимой величины аудиторской выборки; АРМ аудиторов по проверке отдельных объектов учета). Однако на пути решения данной проблемы имеется серьезное препятствие. Даже четко регламентированный бухгалтерский учет трудно поддается алгоритмизации и формализации, не говоря уже об аудите.

Методики проверки для каждой аудиторской фирмы представляют собой ее ноу-хау. Каждая фирма стремится повышать качество проведения аудиторских проверок, вскрывать все существенные нарушения, давать объективные аудиторские заключения, при этом минимизировать трудозатраты на осуществление первых. Эффективное управление издержками и высокое качество аудита — главные факторы успеха аудиторских фирм по сравнению с конкурентами. Исходя из этого создание «унифицированных» АРМ аудитора заранее обречено на неудачу; методические (создание баз данных о выявленных нарушениях с указанием их характера, ссылок на нормативные документы, сумм нанесенного ущерба, методов их раскрытия) и аналитические (на основе указанных ранее баз данных возможно проведение анализа эффективности контрольно-аудиторской деятельности в целом по аудиторской организации или в разрезе отдельных аудиторов); возможность конвертации бухгалтерской системы клиента в программную среду аудиторской системы либо адаптации аудиторской системы к структуре информационной базы клиента.

На пути решения данной проблемы в настоящее время имеется существенное препятствие: бухгалтерская информация в компьютерной информационной системе клиента классифицирована по строго определенным «своим» критериям. Для проведения аудита требуется ту же информацию также классифицировать, но уже другим образом. Поэтому, несмотря на кажущуюся простоту, решение данной проблемы подчас может быть невозможным.

Для выхода из создавшейся ситуации требуется разработка и внедрение на предприятиях единых (совмещенных) программных продуктов — и для бухгалтерского учета, и для внутреннего аудита (когда подсистема аудита является логическим продолжением подсистемы бухгалтерского учета). Тогда проблему информационной несовместимости можно будет разрешить. В таком виде (теоретически) возможно проведение аудита без помощи людей (автоматизированным способом).

Итак, методы компьютерной обработки данных оказывают сильное воздействие на все три составляющие аудиторского риска (неотъемлемый риск, риск системы контроля и риск необнаружения).

Информационные технологии аудиторской деятельности

Технические науки

  • Валиева Анастасия Игоревна , студент
  • Башкирский государственный аграрный университет
  • АУДИТОРСКАЯ ДЕЯТЕЛЬНОСТЬ
  • ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
  • ИНФОРМАЦИОННЫЕ СИСТЕМЫ АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Похожие материалы

  • Защита информации в компьютерных системах
  • Проблемы и перспективы использования электронных архивов на примере филиала ПАО «МРСК Сибири» — «Алтайэнерго»
  • Calls-технологии, особенности, применение и эффективность
  • Cals-технологии, внедрение case-технологий в производство
  • Информационные технологии в управлении системой социальной защиты

В последнее время в аудиторской деятельности всё больше стали применяться новые технологии. Компьютер становится главным инструментом аудитора. Он позволяет ему не только сократить время и средства для проведения аудита, но и провести более детальную проверку и составить качественное аудиторское заключение с рекомендациями по стратегии, направлениям и средствам улучшения финансово-хозяйственного положения предприятия.

Согласно правилу (стандарту) «Проведение аудита с помощью компьютера» основное назначение использования компьютеров при аудите — организация аудита как последовательности выполняемых аудиторских процедур с целью повышения эффективности при взаимодействии человека с компьютером. При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита [1].

Система компьютеризации аудита по этапам предполагает хранение всех данных в единой базе, к которой пользователи системы должны иметь авторизованный доступ соответствующего уровня. Пользователям предоставляют разные права по работе с системой, которые в простом варианте делятся на два уровня; руководитель проверки и аудиторы. Вся информация, записанная в базу данных, должна быть доступна одновременно всем членам аудиторской группы.

Компьютерные информационные системы аудиторской деятельности используют одну из четырех технологий.

  1. Локальное функционирование рабочих мест. Эта технология состоит в том, что компьютеры на каждом рабочем месте работают полностью автономно и в каждом из них хранится свой фрагмент единой базы данных.
  2. Технология «файл-сервер». При использовании этой технологии обработка информации сосредоточивается на компьютерах отдельных рабочих мест.
  3. Технология «клиент-сервер». Позволяет преодолеть непроизводительную пересылку больших информационных потоков в сети.
  4. Модель полностью централизованной обработки. В этой модели все процедуры решения задач выполняются централизованным компьютером. Именно такая технология применялась до распространения персональных компьютеров [2].

Каждая из этих технологий предполагает свои формы использования компьютеров, формы организации и ведения информационной базы учета и интеграцию учетных данных для составления отчетности.

Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные в виде таблиц, ведомостей, учетных регистров, подготовленных в системе компьютерной обработки данных аудируемого экономического субъекта.

На рынке аудиторских программ разработчики предлагают небольшой выбор законченных комплексных пакетов. Однако стоит отметить, что на сегодняшний день сложились все предпосылки для создания комплексной системы автоматизации аудиторской деятельности (СААД), охватывающей все основные ее направления [3].

Программное обеспечение для проведения аудиторских проверок представлено двумя видами программ: пакетные программы и целевые программы. Пакетные программы – это комплекс программ общего назначения, обеспечивающих выполнение широкого спектра функций обработки и анализа данных, включая подготовку и печать отчетов. С помощью программ пакета возможно создать имитационную модель обработки данных, способную реагировать на все предусмотренные аудитором варианты ошибок. Целевые программы составляются для выполнения аудиторских заданий в определенных ситуациях. Эти программы подготавливаются аудиторами или организацией-клиентом по согласованию с аудиторской фирмой [4].

В заключении можно сделать вывод, что список задач выполняемых аудиторскими программами достаточно широк. Они выполняют проверку и анализ записей на основе критериев их полноты, качества, состоятельности и правильности; тестируют выполнение расчетов; сопоставляют данные различных файлов в целях выявления несопоставимых данных; при проведении выборочного аудита с их помощью можно получить представительную выборку. Аудиторские программы незаменимы как способ доступа к данным, которые хранятся только в машинной форме, позволяют быстро производить упорядочение, группировку, переформатирование данных.

Список литературы

  1. Титоренко Г. А. Информационные системы в экономике:учебник для студентов вузов,обучающихся по специальности «Финансы и кредит», «Бухгалтерский учет, анализ и аудит» и специальностям экономики и управления/ Г.А.Титоренко.-2-е изд.-М.:ЮНИТИ-ДАНА,2008-463с.
  2. Трофимова В. В. Информационные системы и технологии в экономике и управлении: учебник /В.В.Трофимова. – 4-е изд., перераб. и доп. – М.: Издательство Юрайт, 2013 –542 c.
  3. Шибилева О. В. Компьютеризация аудиторской деятельности в современных условиях / О.В. Шибилева. – М.:Молодой ученый, 2014 — 455 с.
  4. Шарафутдинов А.Г., Николаева У.С. Информационные технологии в бухгалтерском учёте/ А. Г. Шарафутдинов, У. С. Николаева – М.:
  5. Экономика и социум. 2014-470 с.

Завершение формирования электронного архива по направлению «Науки о Земле и энергетика»

  • 23 ноября 2020
  • Создание электронного архива по направлению «Науки о Земле и энергетика»

    • 29 октября 2020
  • Электронное периодическое издание зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), свидетельство о регистрации СМИ — ЭЛ № ФС77-41429 от 23.07.2010 г.

    Читайте также  Технология производства сметаны

    Соучредители СМИ: Долганов А.А., Майоров Е.В.

    Глава 5. Информационные системы аудита

    5.1. Предпосылки создания информационных систем аудиторской деятельности

    Использование персональных компьютеров и современных информационных технологий в аудиторской деятельности регулируется стандартами аудита.

    В российских правилах (стандартах) эти проблемы нашли отражение в трех стандартах: «Аудит в условиях компьютерной обработки данных», «Проведение аудита с помощью компьютеров», «Оценка риска и внутренний контроль; характеристика и учет среды компьютерной и информационной систем». В принятых в настоящее время федеральных правилах (стандартах) аудиторской деятельности аналогичных стандартов нет, поэтому основные положения российских стандартов не потеряли своей актуальности. Поскольку применение компьютеров в аудите — объективно существующая реальность, в федеральных стандартах также в том или ином контексте упоминаются и компьютерные информационные системы бухгалтерского учета, и методы аудита с помощью компьютеров.

    Из приведенного списка российских стандартов видно, что для российских аудиторов разработаны наиболее существенные из стандартов, имеющих отношение к компьютеризации аудита. Созданные российские правила (стандарты) ориентированы на прогрессивные компьютерные информационные системы, они учитывают специфику российского бухгалтерского учета и аудита. Эти стандарты до сих пор дополняют такие федеральные стандарты, как «Планирование», «Внутренний контроль качества аудита», «Оценка рисков и внутренний контроль, осуществляемый аудируемым лицом», «Аудиторская выборка».

    И российские, и федеральные стандарты ориентированы на более эффективное достижение цели аудита и описание особенностей реализации основных принципов и методов аудита в современных условиях.

    Использование компьютеров и информационных технологий характерно как для аудируемых лиц, так и для аудиторских организаций и индивидуальных аудиторов.

    Общие положения о компонентах компьютерного аудита, основных понятиях и подходах к его организации на аудиторских фирмах и у индивидуальных аудиторов можно получить на основании первого и второго правила (стандарта) из перечисленных российских стандартов. Эти два стандарта тесно взаимосвязаны, хотя первый имеет бoльшее отношение к аудируемым лицам, а второй — непосредственно к аудиторам и аудиторским организациям.

    В практических условиях могут возникнуть следующие варианты проведения компьютерного аудита (табл. 5.1).

    Наличие компьютеров при проведении аудита

    Аудиторская организация (аудитор)

    Наиболее благоприятен и предпочтителен 3-й вариант. В этом случае компьютеры использует и экономический субъект для автоматизации управленческих работ, и аудитор — в процессе аудита.

    Однако само по себе наличие персональных компьютеров в бухгалтерии аудируемого лица еще не является достаточным компонентом системы компьютерной обработки данных. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В первом стандарте для этого введено понятие «компьютерная обработка данных» (КОД).

    Что касается аудиторской организации, то здесь компьютеры могут использоваться не только для автоматизации управленческих работ аудиторской организации, но и для проведения аудита у экономических субъектов. При этом понятие «использование компьютеров для проведения аудита» весьма общее и может включать следующие направления использования (табл. 5.2).

    Варианты использования ПК в аудиторской деятельности

    Виды выполняемых работ с использованием компьютера

    Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.

    Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)

    Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.

    Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала

    Выполнение услуг, сопутствующих аудиту

    Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.

    Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)

    Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.

    Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала

    IT аудит информационной системы

    Долгое время у меня лежал черновик документа по ИТ аудиту информационной системы. Последнее время я немного занимался этой темой, поэтому решил его опубликовать и обсудить с вами. Аудит писался как план действий и одновременно предложение для организаций. Думаю, он многим будет полезен, а я рассчитываю его дополнить и подредактировать с вашей помощью.

    Введение

    Информационная система является важной и неотъемлемой частью организации. Качество ее работы может прямо или косвенно влиять на доходы и расходы компании. Своевременное обслуживание и аудит ИТ системы позволяет снижать издержки и увеличивать уровень надежности и безопасности.

    Простым примером роста издержек может служить распространенная в последнее время ситуация с договором на телекоммуникационные услуги в долларах или у.е. При росте курса растут расходы. В таких случаях нужно своевременно среагировать на ситуацию и изменить условия договора или поменять поставщика услуг.

    Ненадлежащее качество хранения резервных копий коммерческой информации может привести к прямым финансовым потерям в случае выхода из строя оборудования. Регулярная проверка доступности системы архивирования поможет избежать потерь в будущем.

    Уволенный нелояльный сотрудник с административными правами может серьезно нарушить работу информационной системы, если ему своевременно не отключить доступ.

    Медленная работа базы данных может увеличивать нагрузку на менеджеров, работающих с клиентами, что косвенно увеличивает расходы организации на содержание штата сотрудников.

    Эти и многие другие моменты требуют постоянной качественной работы по обслуживанию информационной системы. Для проверки текущего состояния, я предлагаю провести ИТ аудит организации. Данная работа проводится по следующей схеме.

    Инвентаризация объектов аудита

    На данном этапе выбирается цель аудита. В зависимости от цели обозначается круг исследуемых объектов в информационной системе. Примером объектов могут служить:

    • серверное и пользовательское оборудование;
    • программное обеспечение;
    • телефония;
    • системы передачи данных и д.р.

    Определение внешних точек доступа в информационную систему и их защищенность

    Производится анализ всех возможных подключений из интернета для доступа к ресурсам локальной сети организации. Примером таких ресурсов может быть доступ:

    • к почтовым ящикам пользователей;
    • rdp доступ для управления компьютером или сервером;
    • доступ к файлам на сетевых ресурсах и др.

    Проверка всех типов используемой информации и способы ее архивирования

    Анализируется вся информация организации, которая представляет ценность. Составляется ее каталог и схемы резервного копирования. Примером такой информации могут служить:

    • письма в почтовых ящиках пользователей;
    • базы данных CRM систем;
    • личные файлы пользователей;
    • информация на общих сетевых дисках и др.

    Составляется схема архивирования информации, на которой будет отражена глубина и полнота архивов, возможность восстановления информации и сроки этого процесса.

    Анализ производительности серверов и каналов связи

    На основе реальной загрузки серверной инфраструктуры проверяется соответствие используемых ресурсов для выполнения поставленных задач. Ресурсы могут быть как излишними, что ведет к повышению затрат на поддержку, так и недостаточными, что приводит к снижению быстродействия работы информационной системы и удорожанию ее обслуживания.

    Оценка надежности оборудования и времени восстановления в случае сбоя

    Оценивается качество оборудования и его функциональные возможности по предотвращению или восстановлению в случае сбоя в работе. К таким качествам, к примеру, относится

    • наличие рейд-контроллера и настроенного рейда для хранения информации;
    • возможность горячей замены жестких дисков или блоков питания на серверах;
    • подключение оборудования к источникам бесперебойного питания и др.
    Читайте также  Технология приготовления и хранения сенажа

    На основе этой информации и полученных ранее данных о схеме бэкапа оценивается примерное время восстановление работоспособности информационной системы в случае выхода из строя различных узлов.

    Аудит учетных записей

    Проверка всех учетных записей с обычным и административным доступом к ресурсам информационной системы. Это могут быть данные для получения административных прав на контроллере домена, сервере баз данных, для доступа к серверу видео наблюдения, системы контроля доступа в помещения, обычный доступ к общим сетевым дискам и д.р.

    Анализ способов хранения и передачи учетных данных.

    Проверка лицензионного ПО

    Аудит установленного программного обеспечения в информационной системе. Проверка соответствия установленного ПО количеству приобретенных лицензий. Выявление нарушений в установке и использовании ПО. Оценка стоимости для легализации всего использующегося ПО.

    Аудит телефонной связи

    Анализ направлений звонков и их сопоставление с текущими тарифными планами. Рассмотрение подключения дополнительных линий для снижения затрат на звонки по определенным направлениям. Проверка возможности перевода телефонии на IP протокол для автономности от локального оператора связи.

    Анализ системы мониторинга

    Проверка работы существующей системы мониторинга информационной системы. На основе собранных ранее данных, выполняется оценка качества мониторинга с учетом выявленных критических узлов в системе и регламентному времени реагирования на события.

    Проверка работы ИТ отдела

    Анализируется имеющая документация ИТ отдела, такая как:

    • инструкции по работе с пользователями и ресурсами сети;
    • план действий на случай нештатных ситуаций или аварий;
    • должностные инструкции сотрудников;
    • регламенты обслуживания;
    • схемы информационных систем и т.д.

    Проверяется структура отдела и распределение ролей сотрудников.

    Заключение

    Буду рад комментариям, замечания дополнениям. Текст составлен полностью мной, нигде и ни у кого не копировал, не подсматривал. Основывался только на своем опыте, поэтому мог что-то упустить или забыть. Я работаю только с малым и среднем бизнесом, поэтому материал актуален только для них.

    Если кого-то заинтересовал подобный аудит, и вы хотите провести его у себя в компании, обращайтесь ко мне.

    Онлайн курс по Kubernetes

    Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.

    Если вы ответите «да» хотя бы на один вопрос, то это ваш курс:

    • устали тратить время на автоматизацию?
    • хотите единообразные окружения?;
    • хотите развиваться и использовать современные инструменты?
    • небезразлична надежность инфраструктуры?
    • приходится масштабировать инфраструктуру под растущие потребности бизнеса?
    • хотите освободить продуктовые команды от части задач администрирования и автоматизации и сфокусировать их на развитии продукта?

    Сдавайте вступительный тест по и присоединяйтесь к новому набору!.

    Информационный аудит

    Развитие информационных систем приносит компании очевидную пользу. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. IT-аудит позволяет выявить эти риски, оценить эффективность IT-системы и выбрать направления для ее совершенствования.

    Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности — вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

    Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

    • выбора неоптимального решения по автоматизации;
    • ошибок при проектировании;
    • нарушения расчетных сроков и бюджета проекта;
    • несоответствия между инфраструктурой и решениями по автоматизации;
    • технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
    • неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
    • неиспользование всего потенциала технологий;
    • невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
    • неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
    • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

    Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)

    IT-процессы как ключевой объект аудита

    Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

    • распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
    • наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
    • поддержание в полном и актуальном состоянии процессной документации на всех уровнях;
    • наличие и полнота механизмов измерения производительности и формирования внутренней отчетности для каждого IT-процесса, позволяющая руководству IT-службы оценивать степень достижения целевых показателей и, как следствие, принимать эффективные управленческие решения;
    • наличие процедур оперативного мониторинга текущей деятельности, обеспечивающих своевременную идентификацию операционных сбоев линейными менеджерами, например невыполнение сотрудниками штатных процедур;
    • наличие процедур информационного обмена между смежными IT-процессами;
    • методы и специальные инструменты, позволяющие повысить эффективность деятельности, например использования средств автоматизации для регистрации и учета обращений пользователей;
    • совершенствование деятельности на основе анализа текущей эффективности и планов развития информационных технологий.
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: