Реферат на тему:


Воспользуйтесь поиском к примеру Реферат        Грубый поиск Точный поиск






Загрузка...
УДК 657

УДК 657.4

О.Б. Пугаченко, канд. экон. наук

Кировоградский национальный технический университет

Особенности аудита информационных систем и технологий

Обзор практику проведения аудита в компьютерной среде и представлены собственное видение аудита информационных систем и технологий. Предложен порядок оценки аудиторами результатов процесса внедрения новой компьютерной техники и программного обеспечения предприятия-заказчика аудита.

аудит, аудиторские процедуры, компьютерная среда, информационные системы и технологии, программное обеспечение

Трудно переоценить влияние компьютерных систем и технологий на общую работу предприятия и ее эффективность. Практически вся учетная информация предприятия концентрируется в различных электронных учетных системах. Риски, связанные с компьютерно-информационными системами, огромны. В первую очередь это вопрос эффективности использования программно-аппаратных ресурсов и возможности максимальной автоматизации всей системы учета. Важную роль играет также поддержка на современном уровне информационной архитектуры (совокупность информационных систем и потоков между ними), что обеспечивает обработку и хранение учетной информации в условиях все возрастающих требований к быстродействию и надежности. И, наконец, необходимо обеспечивать всестороннюю защиту данных от несанкционированного доступа, является одной из приоритетных задач.

На сегодняшний день достаточное количество предприятий приобретает и внедряет компьютерную технику или программное обеспечение. В числе задач аудиторских компаний, в этом случае, могут быть анализ результатов внедрения, оценка эффективности различных этапов эксплуатации, степень соответствия ожиданиям руководства.

МСА 401 «Аудит в среде компьютерных информационных сетей" (Auditing in Computer Information Systems Environment) описывает навыки и компетентность, которыми должна обладать аудиторская группа при проведении аудита в среде компьютерных информацийних систем. Указанный МСА также предоставляет рекомендации, касающиеся делегирования работы ассистентам, обладающих навыками в данной области, и использование работы других аудиторов или экспертов с подобными навыками. В частности, аудиторская группа должна иметь достаточные знания, чтобы планировать, выполнять и использовать результаты выбранных аудиторских методов.

Практически каждый учебник по аудиту содержит отдельный раздел, посвященный аудита в компьютерной среде. Об интересе к данной проблеме свидетельствует также и тот факт, что значительное количество диссертационных работ содержит рекомендации по совершенствованию аудита в среде электронной обработки данных [1- 7]. Вопрос проведения аудиторских проверок с использованием компьютерной техники и программного обеспечения обсуждаются на страницах профессиональной прессы [8, 9, 10]. Однако, несмотря на постоянное внимание к данной проблематике, как со стороны ученых так и практиков, все еще остаются довольно существенные пробелы, которые касаются, в первую очередь разработок конкретных методик для отдельных объектов аудиторских проверок.

Целью данной статьи является обобщение практики проведения аудита в компьютерной среде и представления собственного видения аудита информационных систем и технологий. Кроме того, мы предложим порядок оценки аудиторами результатов процесса внедрения новой компьютерной техники и программного обеспечения предприятия-заказчика аудита.

Использование компьютерной среды в аудите, кроме МСА 401 предусмотрено еще такими документами, как:

Положением о международной аудиторской практике 1001 «Среда компьютерных информационных систем - автономные микрокомпьютеры»;

Положением о международной аудиторской практике 1002 «Среда компьютерных информационных систем - интерактивные компьютерные системы»;

Положением о международной аудиторской практике 1003 «Среда компьютерных информационных систем - системы баз данных»;

Положением о международной аудиторской практике 1009 «Методы аудитас использованием компьютеров »[11];

приложение может поставить аудитора перед необходимостью использования компьютера как средства контроля. Эти разносторонние варианты использования компьютера известные как «Методы Аудита при содействии Компьютера (MACK)». К ним относятся:

а) программное обеспечение;

б) тестовые данные.

Необходимость использования MACK возникает при тех обстоятельствах, когда отсутствуют входные документы и невозможно проследить полный ход операций (контрольный след), а также тогда, когда эффективность аудита можно значительно улучшить использованием специальной компьютерной аудиторской программы.

Аудиторское программное обеспечение состоит из компьютерных программ, используемых аудитором как элемент аудиторских процедур для обработки данных, имеющих существенное значение для аудита и взяты из учетной системы клиента. Программное обеспечение может состоять из: пакета программ;

программ специального назначения (использования); программ-утилит.

Пакет программ - это обобщенные компьютерные программы, предназначенные для выполнения функций по обработке данных, включая считывание компьютерных файлов, отбор информации, проведение расчетов, создание файлов с данными и печать отчетов по форме, определенной аудитором. < / p>

Программы специального назначения - это программы, разработанные для выполнения конкретных аудиторских заданий. Эти программы могут быть созданы как самим аудитором, так и другим специалистом.

Программы-утилиты - программы, используемые субъектом для выполнения общих функций обработки данных. Такие программы, как правило, не предназначены конкретно для аудиторской практики.

Тестовые данные - это данные (как правило, выборочные данные), предназначенные для внесения аудитором в компьютерную систему субъекта и сравнения полученных результатов с ранее определенными результатами [12].

Прежде всего, необходимо сказать о компетентности аудиторов, которые будут проводить контрольные процедуры проверки. компетентность аудитора не может быть равнозначной сумме знаний профессионального специалиста по компьютерным системам. Уровень необходимых знаний зависит от сложности и характера аудиторских процедур и учетной системы предприятия. Аудитору желательно иметь надлежащее представление о

технический, программный, математический и другие виды обеспечения компьютерной техники, а также о системах обработки экономической информации. В случае отсутствия у аудитора указанных знаний следует использовать работу экспертов в области информационных технологий. Однако в случае использования работы эксперта стоит помнить, что аудитор должен иметь достаточное представление о компьютерной системе в целом, для того чтобы планировать, регулировать и контролировать работу экспертов.

Аудитор должен провести анализ и составить заключение по всем существенным вопросам организации компьютерно-информационной системы, а именно:

детальное рассмотрение функционирования компьютерно-информационной системы (способы организации, введение, настройка, восстановление данных); обеспечение архивирования и хранения данных;

наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных;

анализ программного обеспечения и наличие лицензий;

соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состояния отчетности по основным автоматизированных расчетах (бизнес-процессам);

возможности гибкого реагирования на изменения законодательства с точки зрения настройки (восстановление) программного обеспечения;

возможности расширения функций имеющихся компьютерно-информационных

систем;

вопросы информационной безопасности (ограничение несанкционированного доступа); анализ общей информационной политики и планов развития системы информационных технологий проверяемого субъекта.

На фоне развития бизнеса стремительно увеличивается количество обрабатываемых учетных данных, увеличивается число информационных систем, автоматизирующих различные виды деятельности. В условиях великого предприятия с широкой информационной архитектурой для руководства не всегда прозрачная деятельность сотрудников которые разрабатывают, внедряют и поддерживают всю совокупность информационных систем, а также модель взаимодействия информационных систем различных уровней. Решением этой задачи и может заняться аудит информационных систем и технологий. В этой области на сегодняшний день наиболее актуальными становятся следующие задачи:

анализ рисков существующей комбинации информационных систем по различным показателям. Данная задача включает в себя полную проверку всех информационных систем предприятия, их взаимодействия, выявление недостатков и несоответствий, формулирование предложений (рекомендаций) по совершенствованию использования существующих информационных систем и работы отдела информационных технологий в целом;

анализ результатов процесса внедрения нового оборудования и программного обеспечения при необходимости оценки эффективности приобретенного предприятием дорогостоящего оборудования и затрат на внедрение новых автоматизированных систем;

анализ планируемых к внедрению автоматизированных информационных систем и определения их возможной эффективности и экономической обоснованности применения.

В результате выполнения аудиторских процедур по проверке информационных систем и работы специалистов отдела информационных технологий руководство предприятия получит аудиторское заключение по всем существенным вопросам, как:

оценка степени автоматизации и настройки учетных процессов;

адекватность контрольных процедур;

анализ однородности и совместимости системных решений;

анализ рисков, связанных с внедрением новых информационных систем; ошибки и несоответствия в автоматизированных информационных системах; мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;

вопрос сохранности информации и восстановления данных;

оценка качества информационной безопасности (организация и управление ролями и полномочиями винформационных системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);

структура ролей в отделе информационных технологий и степень зависимости безопасности предприятия от этих кадров, оценка квалификации таких сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения рисков потери кадров, обладающих реальным практическим опытом. < / p>

При решении аудитором задачи анализа результатов процесса внедрения нового оборудования и программного обеспечения проводится осмотр проекта внедрения с целью его текущего исполнения, оценки адекватности контрольных процедур в процессе управления проектом, а также степени выполнения рекомендаций внешних консультантов в рамках проекта по обеспечению качества внедрения информационных систем. Основные этапы аудита внедрения информационных систем и технологий, схематично представлены на рисунке 1.

На первом этапе обычно проверяется соответствие информационной системы ожиданиям руководства, анализируется процесс принятия решений в процессе автоматизации, отличие реализованной системы от запланированной на начальном этапе внедрения.

Самым сложным, длительным и трудоемким этапом проверки является сквозное тестирование внедренной учетной системы. Группе аудиторов необходимо не только проверить соответствие работы системы заданным алгоритмам, полноту и корректность учетных данных, но и провести проверку работы программного контроля подтверждения (согласование) документов в системе, определяет иерархию ответственности и адекватное разграничение полномочий. Кроме того, необходимо оценить степень автоматизации учетных процессов, чтобы минимизировать дополнительные трудозатраты, связанные с ручным контролем. В процессе тестирования аудитором оценивается также совершенство системы автоматического контроля некорректных действий в учетной системе (неподтвержденных, фальсифицированных данных, ошибок ручного ввода), что позволяет знизиты финансовые риски. В системе должны быть организованы периодические сверки

анализы данных и отчетов с целью выявления возможных отклонений. Одной из важнейших характеристик внедренной системы является возможность интеграции с другими информационными системами, возможности автоматического импорта / экспорта, программная верификация итогов данных различных систем.

Вопросам надежности и безопасности системы в ходе проверки также уделяется значительное внимание. Недостатки организации контроля доступа к системе выявляются с помощью специализированных аудиторских процедур: практики периодического анализа прав пользователей на предмет их избыточности, наличия системного подхода к разделению полномочий с помощью ограничения доступа к бизнес-функций. Невыполнение данных требований может привести к серьезным последствиям: несанкционированный доступ к данным и выполнения неавторизованных операций в системе, невозможности однозначного определения ответственности за изменения. Аудитором может быть рекомендовано сформировать матрицу разграничения полномочий для обеспечения соблюдения принципов минимальных прав доступа, документировать все изменения в системе контроля доступа и привести их в соответствие с должностными обязанностями.

На следующем этапе проводится анализ права доступа разработчиков и сотрудников отдела информационных технологий в систему. Разработчики, как правило, имеют неограниченный доступ к учетной системы, сотрудники отдела информационных технологий имеют неограниченные права в системе на уровне модулей, задействованных в автоматизированных ними процессах. Это увеличивает риски несанкционированного изменения данных учетной системы в результате непреднамеренных или умышленных действий пользователей, имеющих неограниченные права и при этом не несут прямую ответственность за действия в системе. Рекомендации аудиторов в этом случае могут быть следующими: проведение анализа производственной необходимости наличия у сотрудников неограниченных прав в системе, анализ процесса управления изменениями и доступом, обеспечения протоколирования всих действий пользователей, обладающих расширенными полномочиями, организация аудита событий, позволяет однозначно установить ответственность за действия в системе и установить хронологию внесения изменений.

На заключительном этапе проверяется пользовательская документация и процесс управления документацией, неактуальности которой, особенно в случае внедрения новой системы, может привести к снижению эффективности и оперативности работы пользователей в системе, а также затрудняет проведение адекватного анализа рисков и снижает уровень качества контроля в процессе управления проектом.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяет оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков, связанных с ними, и рекомендации по их устранению. Это позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Результаты таких аудиторских проверок позволят руководству получить достоверную, полную и точную информацию о состоянии дел в этой области, что позволит увеличить общую эффективность и экономическую обоснованность принятия управленческих решений как в части внедрения информационных систем и технологий так и в целом.

Список литературы

1. Учет и аудит капитальных инвестиций (на примере житлобудивних предприятий): Автореф. дис ... канд. экон. наук: 08.00.09 [Электронный ресурс] / А.С. Гавриловский; Гос. высш. учеб. закл. «Киев. нац. экон. ун-т им. В. Гетьмана ». - М., 2008. - 20с. - укр.

2. Аудиторская деятельность в аграрном секторе АПК: Автореф. дис ... канд. экон. наук: 08.00.09 [Электронный ресурс] / А.Г. Пономаренко; Нац. наук, центр «Ин-т аграр. Экономики »УААН. - М., 2007. - 20с. - укр.

3. Учет нематериальных активов (на примере предприятий пищевой промышленности): автореф. дис ... канд. экон. наук: 08.00.09 [Электронный ресурс] / Н.М. Бразил; Киев. нац. экон. ун-т им. Гететьмана. - К, 2007. - 20с. -укр.

4. Учет нематериальных активов: теория, организация, методика: Автореф. дис ... канд. экон. наук: 08.06.04 [Электронный ресурс] / C.B. Шульга; Гос. акад. статистики, учета и аудита Госкомстата Украины. - К, 2006. - 21с. - укр.

5. Учет, анализ и аудит труда и его оплаты: Автореф. дис ... канд. экон. наук: 08.04.06 [Электронный ресурс] / Т.Г. Мельник; Киев. нац. ун-т им. Т.Шевченко. - М., 2006. - 20с. - укр.

6. Финансовый учет и внутренний аудит товарных запасов в оптовой торговле Украины: Автореф. дис ... канд. экон. наук: 08.06.04 [Электронный ресурс] / O.A. Зорина; Укоопсоюз, Львов, коммерч. акад. - Л., 2005. -21с. - укр.

7. Учет и аудит финансовых результатов деятельности промышленных предприятий: Автореф. дис ... канд. экон. наук: 08.06.04 [Электронный ресурс] / Г.М. Курило; Киев. нац. экон. ун-т. - М., 2004. - 19с. табл. - укр.

8. Ширяева O.B. MCA 401 «Аудит в среде компьютерных информационных сетей» ( «Внедрение Международных стандартов финансовой отчетности (МСФО) в кредитной организации») / А.В. Ширяева // Бухгалтерия и финансы. - 2007. - № 2. - С. 19-24.

9. Славкова А.П. Особенности проведения аудита в компьютерной среде / А.П. Славкова // Экономика АПК. - 2006. - №3. - с.45-49.

10. Тарасенко Ю.А. Особенности аудита в компьютерной среде / Ю.А. Тарасенко // Сборник тезисов научных докладов XI Межвузовской студенческо-аспирантской конференции 21 ноября 2008 «Перспективные направления реформирования финансовой системы Украины».

11. http: // buklib. net / component / option, com jbook / task, view / Itemi.

12. http://library.if.ua/book/78/5611 .html.

В. Пугаченко

Особенности аудита информационных систем и технологий

обобщений практику проведения аудита в компьютерной среде и представлено собственное видение аудита информационных систем и технологий. Предложен порядок оценки аудиторами результатов процесса внедрения новойкомпьютерной техники и программного обеспечения предприятия-заказчика аудита.

О. Pugachenko

Features of audit of the informative systems and technologies

It is generalized practice of audit conducting in a computer environment and own vision of audit of the informative systems and technologies is presented. The order of estimation is offered by the public accountants of process results of new computer technique introduction and company - customer audit software.

Загрузка...