Особливості аудиту інформаційних систем і технологій
О.Б. Пугаченко, канд. екон. наук
Кіровоградський національний технічний університет
Особливості аудиту інформаційних систем і технологій
Узагальнено практику проведення аудиту у комп'ютерному середовищі та подано власне бачення аудиту інформаційних систем і технологій. Запропоновано порядок оцінки аудиторами результатів процесу впровадження нової комп'ютерної техніки й програмного забезпечення підприємства-замовника аудиту.
аудит, аудиторські процедури, комп'ютерне середовище, інформаційні системи і технології, програмне забезпечення
Важко переоцінити вплив комп'ютерних систем і технологій на загальну роботу підприємства та її ефективність. Практично вся облікова інформація підприємства концентрується в різноманітних електронних облікових системах. Ризики, пов'язані з комп'ютерно-інформаційними системами, величезні. У першу чергу це питання ефективності використання програмно-апаратних ресурсів і можливості максимальної автоматизації всієї системи обліку. Важливу роль відіграє також підтримка на сучасному рівні інформаційної архітектури (сукупність інформаційних систем і потоків між ними), що забезпечує обробку й зберігання облікової інформації в умовах всі зростаючих вимог до швидкодії й надійності. І, нарешті, необхідно забезпечувати всебічний захист даних від несанкціонованого доступу, що є одним із пріоритетних завдань.
На сьогодні достатня кількість підприємств придбаває і впроваджує комп'ютерну техніку або програмне забезпечення. У числі завдань аудиторських підприємств, в цьому випадку, можуть бути аналіз результатів впровадження, оцінка ефективності різних етапів експлуатації, ступінь відповідності очікуванням керівництва.
МСА 401 «Аудит у середовищі комп'ютерних інформаційних мереж» (Auditing in Computer Information Systems Environment) описує навички й компетентність, якими повинна володіти аудиторська група при проведенні аудита в середовищі комп'ютерних інформаційних систем. Зазначений МСА також надає рекомендації, що стосуються делегування роботи асистентам, що володіють навичками в даній області, і використання роботи інших аудиторів або експертів з подібними навичками. Зокрема, аудиторська група повинна мати достатні знання, щоб планувати, виконувати й використовувати результати обраних аудиторських методів.
Практично кожний підручник з аудиту містить окремий розділ, який присвячений аудиту у комп'ютерному середовищі. Про цікавість до даної проблеми свідчить також і той факт, що значна кількість дисертаційних робіт містить рекомендації щодо удосконалення аудиту в середовищі електронної обробки даних [1- 7]. Питання проведення аудиторських перевірок з використанням комп'ютерної техніки і програмного забезпечення обговорюються на сторінках фахової преси [8, 9, 10]. Проте, незважаючи на постійну увагу до даної проблематики, як з боку науковців так і практиків, все ще залишаються доволі суттєві прогалини, які стосуються, в першу чергу розробок конкретних методик для окремих об'єктів аудиторських перевірок.
Метою даної статті є узагальнення практики проведення аудиту у комп'ютерному середовищі та подання власного бачення аудиту інформаційних систем і технологій. Крім того, ми запропонуємо порядок оцінки аудиторами результатів процесу впровадження нової комп'ютерної техніки й програмного забезпечення підприємства-замовника аудиту.
Використання комп'ютерного середовища в аудиті, окрім МСА 401 передбачено ще такими документами, як:
Положенням про міжнародну аудиторську практику 1001 «Середовище комп'ютерних інформаційних систем - автономні мікрокомп'ютери»;
Положенням про міжнародну аудиторську практику 1002 «Середовище комп'ютерних інформаційних систем - інтерактивні комп'ютерні системи»;
Положенням про міжнародну аудиторську практику 1003 «Середовище комп'ютерних інформаційних систем - системи баз даних»;
Положенням про міжнародну аудиторську практику 1009 «Методи аудиту з використанням комп'ютерів» [11];
прикладна програма може поставити аудитора перед необхідністю використання комп'ютера як засобу контролю. Ці різнобічні варіанти використання комп'ютера відомі як «Методи Аудиту при Сприянні Комп'ютера (MACK)». До них належать:
а) програмне забезпечення;
б) тестові дані.
Необхідність використання MACK виникає за тих обставин, коли відсутні вхідні документи і неможливо простежити повний хід операцій (контрольний слід), а також тоді, коли ефективність аудиту можна значно поліпшити використанням спеціальної комп'ютерної аудиторської програми.
Аудиторське програмне забезпечення складається із комп'ютерних програм, що використовуються аудитором як елемент аудиторських процедур для обробки даних, що мають суттєве значення для аудиту і взяті з облікової системи клієнта. Програмне забезпечення може складатись із: пакета програм;
програм спеціального призначення (використання); програм-утилітів.
Пакет програм - це узагальнені комп'ютерні програми, що призначені для виконання функцій з обробки даних, включаючи зчитування комп'ютерних файлів, відбір інформації, проведення розрахунків, створення файлів з даними і друкування звітів за формою, що визначена аудитором.
Програми спеціального призначення - це програми, розроблені для виконання конкретних аудиторських завдань. Ці програми можуть бути створені як самим аудитором, так і іншим спеціалістом.
Програми-утиліти - програми, що використовуються суб'єктом для виконання загальних функцій обробки даних. Такі програми, як правило, не призначені конкретно для аудиторської практики.
Тестові дані - це дані (як правило, вибіркові дані), що призначені для внесення аудитором в комп'ютерну систему суб'єкта та порівняння отриманих результатів із раніше визначеними результатами [12].
Перш за все, необхідно сказати про компетентність аудиторів, які будуть проводити контрольні процедури перевірки. Компетентність аудитора не може бути рівнозначною сумі знань професійного фахівця з комп'ютерних систем. Рівень необхідних знань залежить від складності й характеру аудиторських процедур і облікової системи підприємства. Аудитору бажано мати належне уявлення про
технічний, програмний, математичний і інший види забезпечення комп'ютерної техніки, а також про системи обробки економічної інформації. У випадку відсутності в аудитора зазначених знань варто використовувати роботу експертів в області інформаційних технологій. Однак у випадку використання роботи експерта варто пам'ятати, що аудитор повинен мати достатнє уявлення про комп'ютерну систему в цілому, для того щоб планувати, регулювати й контролювати роботу експертів.
Аудитору необхідно провести аналіз і скласти висновок по всіх істотних питаннях організації комп'ютерно-інформаційної системи, а саме:
детальний розгляд функціонування комп'ютерно-інформаційної системи (способи організації, уведення, настроювання, відновлення даних); забезпечення архівування й зберігання даних;
наявність спеціальних контрольних процедур для моніторингу функціонування середовища комп'ютерної обробки даних;
аналіз програмного забезпечення й наявність ліцензій;
відповідність застосовуваних алгоритмів вимогам нормативної документації по веденню обліку й стану звітності по основних автоматизованих розрахунках (бізнес-процесам);
можливості гнучкого реагування на зміни законодавства з погляду настроювання (відновлення) програмного забезпечення;
можливості розширення функцій наявних комп'ютерно-інформаційних
систем;
питання інформаційної безпеки (обмеження несанкціонованого доступу); аналіз загальної інформаційної політики й планів розвитку системи інформаційних технологій суб'єкта, що перевіряється.
На тлі розвитку бізнесу стрімко збільшується кількість оброблюваних облікових даних, збільшується число інформаційних систем, що автоматизують різні види діяльності. В умовах великого підприємства із широкою інформаційною архітектурою для керівництва не завжди прозора діяльність співробітників які розробляють, впроваджують і підтримують всю сукупність інформаційних систем, а також модель взаємодії інформаційних систем різних рівнів. Рішенням цього завдання і може зайнятись аудит інформаційних систем і технологій. У цій області на сьогоднішній день найбільш актуальними стають наступні завдання:
аналіз ризиків існуючої комбінації інформаційних систем за різними показниками. Дане завдання містить у собі повну перевірку всіх інформаційних систем підприємства, їх взаємодії, виявлення недоліків і невідповідностей, формулювання пропозицій (рекомендацій) по вдосконаленню використання існуючих інформаційних систем і роботи відділу інформаційних технологій в цілому;
аналіз результатів процесу впровадження нового обладнання й програмного забезпечення при необхідності оцінки ефективності придбаного підприємством дорогого встаткування й витрат на впровадження нових автоматизованих систем;
аналіз планованих до впровадження автоматизованих інформаційних систем і визначення їх можливої ефективності й економічної обгрунтованості впровадження.
У результаті виконання аудиторських процедур по перевірці інформаційних систем і роботи фахівців відділу інформаційних технологій керівництво підприємства одержить аудиторський висновок по всіх істотних питаннях, як-от:
оцінка ступеня автоматизації й настроювання облікових процесів;
адекватність контрольних процедур;
аналіз однорідності й сумісності системних рішень;
аналіз ризиків, пов'язаних із впровадженням нових інформаційних систем; помилки й невідповідності в автоматизованих інформаційних системах; моніторинг працездатності й продуктивності інформаційних систем, реакція й дії в критичних ситуаціях;
питання схоронності інформації й відновлення даних;
оцінка якості інформаційної безпеки (організація й керування ролями й повноваженнями в інформаційних системах, парольна політика, аудит подій і дій користувачів, контроль несанкціонованого доступу);
структура ролей у відділі інформаційних технологій і ступінь залежності безпеки підприємства від цих кадрів, оцінка кваліфікації таких співробітників і процес підтримки повноти й актуальності бази знань у даній області, мотивація персоналу з метою зниження ризиків втрати кадрів, що володіють реальним практичним досвідом.
При вирішенні аудитором завдання аналізу результатів процесу впровадження нового обладнання й програмного забезпечення проводиться огляд проекту впровадження з метою його поточного виконання, оцінки адекватності контрольних процедур у процесі керування проектом, а також ступеня виконання рекомендацій зовнішніх консультантів у рамках проекту по забезпеченню якості впровадження інформаційних систем. Основні етапи аудиту впровадження інформаційних систем і технологій, схематично представлено на рисунку 1.
На першому етапі зазвичай перевіряється відповідність інформаційної системи очікуванням керівництва, аналізується процес прийняття рішень у процесі автоматизації, відмінність реалізованої системи від запланованої на початковому етапі впровадження.
Самим складним, тривалим і трудомістким етапом перевірки є наскрізне тестування впровадженої облікової системи. Групі аудиторів необхідно не тільки перевірити відповідність роботи системи заданим алгоритмам, повноту й коректність облікових даних, але й провести перевірку роботи програмного контролю підтвердження (узгодження) документів у системі, що визначає ієрархію відповідальності й адекватне розмежування повноважень. Крім того, необхідно оцінити ступінь автоматизації облікових процесів, щоб мінімізувати додаткові трудозатрати, пов'язані з ручним контролем. У процесі тестування аудитором оцінюється також досконалість системи автоматичного контролю некоректних дій в обліковій системі (непідтверджених, фальсифікованих даних, помилок ручного уведення), що дозволяє знизити фінансові ризики. У системі повинні бути організовані періодичні звірення,
аналізи даних і звітів з метою виявлення можливих відхилень. Однієї з найважливіших характеристик впровадженої системи є можливість інтеграції з іншими інформаційними системами, можливості автоматичного імпорту/експорту, програмна верифікація підсумків даних різних систем.
Питанням надійності й безпеки системи в ході перевірки також приділяється значна увага. Недоліки організації контролю доступу до системи виявляються за допомогою спеціалізованих аудиторських процедур: практики періодичного аналізу прав користувачів на предмет їх надмірності, наявності системного підходу до поділу повноважень за допомогою обмеження доступу до бізнес-функцій. Невиконання даних вимог може привести до серйозних наслідків: несанкціонованому доступу до даних і виконання неавторизованих операцій у системі, неможливості однозначного визначення відповідальності за зміни. Аудитором може бути рекомендовано сформувати матрицю розмежування повноважень для забезпечення дотримання принципів мінімальних прав доступу, документувати всі зміни в системі контролю доступу й привести їх у відповідність із посадовими обов'язками.
На наступному етапі проводиться аналіз права доступу розроблювачів і співробітників відділу інформаційних технологій до системи. Розроблювачі, як правило, мають необмежений доступ до облікової системи, співробітники відділу інформаційних технологій мають необмежені права в системі на рівні модулів, задіяних в автоматизованих ними процесах. Це збільшує ризики несанкціонованої зміни даних облікової системи в результаті ненавмисних або навмисних дій користувачів, що мають необмежені права й при цьому не несуть пряму відповідальність за дії в системі. Рекомендації аудиторів у цьому випадку можуть бути наступними: проведення аналізу виробничої потреби наявності у співробітників необмежених прав у системі, аналіз процесу керування змінами й доступом, забезпечення протоколювання всіх дій користувачів, що володіють розширеними повноваженнями, організація аудита подій, що дозволяє однозначно встановити відповідальність за дії в системі і встановити хронологію внесення змін.
На заключному етапі перевіряється користувальницька документація й процес керування документацією, неактуальність якої, особливо у випадку впровадження нової системи, може привести до зниження ефективності й оперативності роботи користувачів у системі, а також ускладнює проведення адекватного аналізу ризиків і знижує рівень якості контролю в процесі керування проектом.
Аудиторський висновок по проекту впровадження дає цілісну картину процесу, що дозволяє оцінити стан справ на поточному етапі, перелік недоліків, невідповідностей, можливих ризиків, пов'язаних з ними, і рекомендації з їх усунення. Це дозволить керівникам оцінити якість впровадження, можливості системи, пріоритетність планованих завдань і вибір подальшої стратегії розвитку.
Результати таких аудиторських перевірок дозволять керівництву одержати достовірну, повну й точну інформацію про стан справ у цій області, що дозволить збільшити загальну ефективність і економічну обгрунтованість прийняття управлінських рішень як в частині впровадження інформаційних систем і технологій так і в цілому.
Список літератури
1. Облік і аудит капітальних інвестицій (на прикладі житлобудівних підприємств): автореф. дис... канд. екон. наук: 08.00.09 [Електронний ресурс] / О.С. Гавриловський; Держ. вищ. навч. закл. «Київ. нац. екон. ун-т ім. В.Гетьмана». - К., 2008. - 20с. - укр.
2. Аудиторська діяльність в аграрному секторі АПК: автореф. дис... канд. екон. наук: 08.00.09 [Електронний ресурс] / О.Г. Пономаренко; Нац. наук, центр «Ін-т аграр. Економіки» УААН. - К., 2007. - 20с. - укр.
3. Облік і аудит нематеріальних активів (на прикладі підприємств харчової промисловості): автореф. дис... канд. екон. наук: 08.00.09 [Електронний ресурс] / Н.М. Бразілій; Київ. нац. екон. ун-т ім. В.Гетьмана. - К, 2007. - 20с. -укр.
4. Облік і аудит нематеріальних активів: теорія, організація, методика: Автореф. дис... канд. екон. наук: 08.06.04 [Електронний ресурс] / C.B. Шульга; Держ. акад. статистики, обліку та аудиту Держкомстату України. - К, 2006. - 21с. - укр.
5. Облік, аналіз та аудит праці і її оплати: Автореф. дис... канд. екон. наук: 08.04.06 [Електронний ресурс] / Т.Г. Мельник; Київ. нац. ун-т ім. Т.Шевченка. - К., 2006. - 20с. - укр.
6. Фінансовий облік та внутрішній аудит товарних запасів в оптовій торгівлі України: Автореф. дис... канд. екон. наук: 08.06.04 [Електронний ресурс] / O.A. Зоріна; Укоопспілка, Львів, комерц. акад. - Л., 2005. -21с. - укр.
7. Облік та аудит фінансових результатів діяльності промислових підприємств: Автореф. дис... канд. екон. наук: 08.06.04 [Електронний ресурс] / Г.М. Курило; Київ. нац. екон. ун-т. - К., 2004. - 19с. табл. - укр.
8. Ширяева O.B. MCA 401 «Аудит в среде компьютерных информационных сетей» («Внедрение Международных стандартов финансовой отчетности (МСФО) в кредитной организации») / О.В. Ширяева // Бухгалтерия и финансы. - 2007. - № 2. - С. 19-24.
9. Славкова О.П. Особливості проведення аудиту в комп'ютерному середовищі / О.П. Славкова // Економіка АПК. - 2006. - №3. - С.45-49.
10. Тарасенко Ю.О. Особливості аудиту в комп'ютерному середовищі / Ю.О. Тарасенко // Збірник тез наукових доповідей XI Міжвузівської студентсько-аспірантської конференції 21 листопада 2008 року «Перспективні напрями реформування фінансової системи України».
11. http : //buklib. net/component/option, com jbook/task, view/Itemi.
12. http://library.if.ua/book/78/5611 .html.
О. Пугаченко
Особенности аудита информационных систем и технологий
Обобщено практику проведения аудита в компьютерной среде и представлено собственное видение аудита информационных систем и технологий. Предложен порядок оценки аудиторами результатов процесса внедрения новой компьютерной техники и программного обеспечения предприятия-заказчика аудита.
О. Pugachenko
Features of audit of the informative systems and technologies
It is generalized practice of audit conducting in a computer environment and own vision of audit of the informative systems and technologies is presented. The order of estimation is offered by the public accountants of process results of new computer technique introduction and company - customer audit software.
Кіровоградський національний технічний університет
Особливості аудиту інформаційних систем і технологій
Узагальнено практику проведення аудиту у комп'ютерному середовищі та подано власне бачення аудиту інформаційних систем і технологій. Запропоновано порядок оцінки аудиторами результатів процесу впровадження нової комп'ютерної техніки й програмного забезпечення підприємства-замовника аудиту.
аудит, аудиторські процедури, комп'ютерне середовище, інформаційні системи і технології, програмне забезпечення
Важко переоцінити вплив комп'ютерних систем і технологій на загальну роботу підприємства та її ефективність. Практично вся облікова інформація підприємства концентрується в різноманітних електронних облікових системах. Ризики, пов'язані з комп'ютерно-інформаційними системами, величезні. У першу чергу це питання ефективності використання програмно-апаратних ресурсів і можливості максимальної автоматизації всієї системи обліку. Важливу роль відіграє також підтримка на сучасному рівні інформаційної архітектури (сукупність інформаційних систем і потоків між ними), що забезпечує обробку й зберігання облікової інформації в умовах всі зростаючих вимог до швидкодії й надійності. І, нарешті, необхідно забезпечувати всебічний захист даних від несанкціонованого доступу, що є одним із пріоритетних завдань.
На сьогодні достатня кількість підприємств придбаває і впроваджує комп'ютерну техніку або програмне забезпечення. У числі завдань аудиторських підприємств, в цьому випадку, можуть бути аналіз результатів впровадження, оцінка ефективності різних етапів експлуатації, ступінь відповідності очікуванням керівництва.
МСА 401 «Аудит у середовищі комп'ютерних інформаційних мереж» (Auditing in Computer Information Systems Environment) описує навички й компетентність, якими повинна володіти аудиторська група при проведенні аудита в середовищі комп'ютерних інформаційних систем. Зазначений МСА також надає рекомендації, що стосуються делегування роботи асистентам, що володіють навичками в даній області, і використання роботи інших аудиторів або експертів з подібними навичками. Зокрема, аудиторська група повинна мати достатні знання, щоб планувати, виконувати й використовувати результати обраних аудиторських методів.
Практично кожний підручник з аудиту містить окремий розділ, який присвячений аудиту у комп'ютерному середовищі. Про цікавість до даної проблеми свідчить також і той факт, що значна кількість дисертаційних робіт містить рекомендації щодо удосконалення аудиту в середовищі електронної обробки даних [1- 7]. Питання проведення аудиторських перевірок з використанням комп'ютерної техніки і програмного забезпечення обговорюються на сторінках фахової преси [8, 9, 10]. Проте, незважаючи на постійну увагу до даної проблематики, як з боку науковців так і практиків, все ще залишаються доволі суттєві прогалини, які стосуються, в першу чергу розробок конкретних методик для окремих об'єктів аудиторських перевірок.
Метою даної статті є узагальнення практики проведення аудиту у комп'ютерному середовищі та подання власного бачення аудиту інформаційних систем і технологій. Крім того, ми запропонуємо порядок оцінки аудиторами результатів процесу впровадження нової комп'ютерної техніки й програмного забезпечення підприємства-замовника аудиту.
Використання комп'ютерного середовища в аудиті, окрім МСА 401 передбачено ще такими документами, як:
Положенням про міжнародну аудиторську практику 1001 «Середовище комп'ютерних інформаційних систем - автономні мікрокомп'ютери»;
Положенням про міжнародну аудиторську практику 1002 «Середовище комп'ютерних інформаційних систем - інтерактивні комп'ютерні системи»;
Положенням про міжнародну аудиторську практику 1003 «Середовище комп'ютерних інформаційних систем - системи баз даних»;
Положенням про міжнародну аудиторську практику 1009 «Методи аудиту з використанням комп'ютерів» [11];
прикладна програма може поставити аудитора перед необхідністю використання комп'ютера як засобу контролю. Ці різнобічні варіанти використання комп'ютера відомі як «Методи Аудиту при Сприянні Комп'ютера (MACK)». До них належать:
а) програмне забезпечення;
б) тестові дані.
Необхідність використання MACK виникає за тих обставин, коли відсутні вхідні документи і неможливо простежити повний хід операцій (контрольний слід), а також тоді, коли ефективність аудиту можна значно поліпшити використанням спеціальної комп'ютерної аудиторської програми.
Аудиторське програмне забезпечення складається із комп'ютерних програм, що використовуються аудитором як елемент аудиторських процедур для обробки даних, що мають суттєве значення для аудиту і взяті з облікової системи клієнта. Програмне забезпечення може складатись із: пакета програм;
програм спеціального призначення (використання); програм-утилітів.
Пакет програм - це узагальнені комп'ютерні програми, що призначені для виконання функцій з обробки даних, включаючи зчитування комп'ютерних файлів, відбір інформації, проведення розрахунків, створення файлів з даними і друкування звітів за формою, що визначена аудитором.
Програми спеціального призначення - це програми, розроблені для виконання конкретних аудиторських завдань. Ці програми можуть бути створені як самим аудитором, так і іншим спеціалістом.
Програми-утиліти - програми, що використовуються суб'єктом для виконання загальних функцій обробки даних. Такі програми, як правило, не призначені конкретно для аудиторської практики.
Тестові дані - це дані (як правило, вибіркові дані), що призначені для внесення аудитором в комп'ютерну систему суб'єкта та порівняння отриманих результатів із раніше визначеними результатами [12].
Перш за все, необхідно сказати про компетентність аудиторів, які будуть проводити контрольні процедури перевірки. Компетентність аудитора не може бути рівнозначною сумі знань професійного фахівця з комп'ютерних систем. Рівень необхідних знань залежить від складності й характеру аудиторських процедур і облікової системи підприємства. Аудитору бажано мати належне уявлення про
технічний, програмний, математичний і інший види забезпечення комп'ютерної техніки, а також про системи обробки економічної інформації. У випадку відсутності в аудитора зазначених знань варто використовувати роботу експертів в області інформаційних технологій. Однак у випадку використання роботи експерта варто пам'ятати, що аудитор повинен мати достатнє уявлення про комп'ютерну систему в цілому, для того щоб планувати, регулювати й контролювати роботу експертів.
Аудитору необхідно провести аналіз і скласти висновок по всіх істотних питаннях організації комп'ютерно-інформаційної системи, а саме:
детальний розгляд функціонування комп'ютерно-інформаційної системи (способи організації, уведення, настроювання, відновлення даних); забезпечення архівування й зберігання даних;
наявність спеціальних контрольних процедур для моніторингу функціонування середовища комп'ютерної обробки даних;
аналіз програмного забезпечення й наявність ліцензій;
відповідність застосовуваних алгоритмів вимогам нормативної документації по веденню обліку й стану звітності по основних автоматизованих розрахунках (бізнес-процесам);
можливості гнучкого реагування на зміни законодавства з погляду настроювання (відновлення) програмного забезпечення;
можливості розширення функцій наявних комп'ютерно-інформаційних
систем;
питання інформаційної безпеки (обмеження несанкціонованого доступу); аналіз загальної інформаційної політики й планів розвитку системи інформаційних технологій суб'єкта, що перевіряється.
На тлі розвитку бізнесу стрімко збільшується кількість оброблюваних облікових даних, збільшується число інформаційних систем, що автоматизують різні види діяльності. В умовах великого підприємства із широкою інформаційною архітектурою для керівництва не завжди прозора діяльність співробітників які розробляють, впроваджують і підтримують всю сукупність інформаційних систем, а також модель взаємодії інформаційних систем різних рівнів. Рішенням цього завдання і може зайнятись аудит інформаційних систем і технологій. У цій області на сьогоднішній день найбільш актуальними стають наступні завдання:
аналіз ризиків існуючої комбінації інформаційних систем за різними показниками. Дане завдання містить у собі повну перевірку всіх інформаційних систем підприємства, їх взаємодії, виявлення недоліків і невідповідностей, формулювання пропозицій (рекомендацій) по вдосконаленню використання існуючих інформаційних систем і роботи відділу інформаційних технологій в цілому;
аналіз результатів процесу впровадження нового обладнання й програмного забезпечення при необхідності оцінки ефективності придбаного підприємством дорогого встаткування й витрат на впровадження нових автоматизованих систем;
аналіз планованих до впровадження автоматизованих інформаційних систем і визначення їх можливої ефективності й економічної обгрунтованості впровадження.
У результаті виконання аудиторських процедур по перевірці інформаційних систем і роботи фахівців відділу інформаційних технологій керівництво підприємства одержить аудиторський висновок по всіх істотних питаннях, як-от:
оцінка ступеня автоматизації й настроювання облікових процесів;
адекватність контрольних процедур;
аналіз однорідності й сумісності системних рішень;
аналіз ризиків, пов'язаних із впровадженням нових інформаційних систем; помилки й невідповідності в автоматизованих інформаційних системах; моніторинг працездатності й продуктивності інформаційних систем, реакція й дії в критичних ситуаціях;
питання схоронності інформації й відновлення даних;
оцінка якості інформаційної безпеки (організація й керування ролями й повноваженнями в інформаційних системах, парольна політика, аудит подій і дій користувачів, контроль несанкціонованого доступу);
структура ролей у відділі інформаційних технологій і ступінь залежності безпеки підприємства від цих кадрів, оцінка кваліфікації таких співробітників і процес підтримки повноти й актуальності бази знань у даній області, мотивація персоналу з метою зниження ризиків втрати кадрів, що володіють реальним практичним досвідом.
При вирішенні аудитором завдання аналізу результатів процесу впровадження нового обладнання й програмного забезпечення проводиться огляд проекту впровадження з метою його поточного виконання, оцінки адекватності контрольних процедур у процесі керування проектом, а також ступеня виконання рекомендацій зовнішніх консультантів у рамках проекту по забезпеченню якості впровадження інформаційних систем. Основні етапи аудиту впровадження інформаційних систем і технологій, схематично представлено на рисунку 1.
На першому етапі зазвичай перевіряється відповідність інформаційної системи очікуванням керівництва, аналізується процес прийняття рішень у процесі автоматизації, відмінність реалізованої системи від запланованої на початковому етапі впровадження.
Самим складним, тривалим і трудомістким етапом перевірки є наскрізне тестування впровадженої облікової системи. Групі аудиторів необхідно не тільки перевірити відповідність роботи системи заданим алгоритмам, повноту й коректність облікових даних, але й провести перевірку роботи програмного контролю підтвердження (узгодження) документів у системі, що визначає ієрархію відповідальності й адекватне розмежування повноважень. Крім того, необхідно оцінити ступінь автоматизації облікових процесів, щоб мінімізувати додаткові трудозатрати, пов'язані з ручним контролем. У процесі тестування аудитором оцінюється також досконалість системи автоматичного контролю некоректних дій в обліковій системі (непідтверджених, фальсифікованих даних, помилок ручного уведення), що дозволяє знизити фінансові ризики. У системі повинні бути організовані періодичні звірення,
аналізи даних і звітів з метою виявлення можливих відхилень. Однієї з найважливіших характеристик впровадженої системи є можливість інтеграції з іншими інформаційними системами, можливості автоматичного імпорту/експорту, програмна верифікація підсумків даних різних систем.
Питанням надійності й безпеки системи в ході перевірки також приділяється значна увага. Недоліки організації контролю доступу до системи виявляються за допомогою спеціалізованих аудиторських процедур: практики періодичного аналізу прав користувачів на предмет їх надмірності, наявності системного підходу до поділу повноважень за допомогою обмеження доступу до бізнес-функцій. Невиконання даних вимог може привести до серйозних наслідків: несанкціонованому доступу до даних і виконання неавторизованих операцій у системі, неможливості однозначного визначення відповідальності за зміни. Аудитором може бути рекомендовано сформувати матрицю розмежування повноважень для забезпечення дотримання принципів мінімальних прав доступу, документувати всі зміни в системі контролю доступу й привести їх у відповідність із посадовими обов'язками.
На наступному етапі проводиться аналіз права доступу розроблювачів і співробітників відділу інформаційних технологій до системи. Розроблювачі, як правило, мають необмежений доступ до облікової системи, співробітники відділу інформаційних технологій мають необмежені права в системі на рівні модулів, задіяних в автоматизованих ними процесах. Це збільшує ризики несанкціонованої зміни даних облікової системи в результаті ненавмисних або навмисних дій користувачів, що мають необмежені права й при цьому не несуть пряму відповідальність за дії в системі. Рекомендації аудиторів у цьому випадку можуть бути наступними: проведення аналізу виробничої потреби наявності у співробітників необмежених прав у системі, аналіз процесу керування змінами й доступом, забезпечення протоколювання всіх дій користувачів, що володіють розширеними повноваженнями, організація аудита подій, що дозволяє однозначно встановити відповідальність за дії в системі і встановити хронологію внесення змін.
На заключному етапі перевіряється користувальницька документація й процес керування документацією, неактуальність якої, особливо у випадку впровадження нової системи, може привести до зниження ефективності й оперативності роботи користувачів у системі, а також ускладнює проведення адекватного аналізу ризиків і знижує рівень якості контролю в процесі керування проектом.
Аудиторський висновок по проекту впровадження дає цілісну картину процесу, що дозволяє оцінити стан справ на поточному етапі, перелік недоліків, невідповідностей, можливих ризиків, пов'язаних з ними, і рекомендації з їх усунення. Це дозволить керівникам оцінити якість впровадження, можливості системи, пріоритетність планованих завдань і вибір подальшої стратегії розвитку.
Результати таких аудиторських перевірок дозволять керівництву одержати достовірну, повну й точну інформацію про стан справ у цій області, що дозволить збільшити загальну ефективність і економічну обгрунтованість прийняття управлінських рішень як в частині впровадження інформаційних систем і технологій так і в цілому.
Список літератури
1. Облік і аудит капітальних інвестицій (на прикладі житлобудівних підприємств): автореф. дис... канд. екон. наук: 08.00.09 [Електронний ресурс] / О.С. Гавриловський; Держ. вищ. навч. закл. «Київ. нац. екон. ун-т ім. В.Гетьмана». - К., 2008. - 20с. - укр.
2. Аудиторська діяльність в аграрному секторі АПК: автореф. дис... канд. екон. наук: 08.00.09 [Електронний ресурс] / О.Г. Пономаренко; Нац. наук, центр «Ін-т аграр. Економіки» УААН. - К., 2007. - 20с. - укр.
3. Облік і аудит нематеріальних активів (на прикладі підприємств харчової промисловості): автореф. дис... канд. екон. наук: 08.00.09 [Електронний ресурс] / Н.М. Бразілій; Київ. нац. екон. ун-т ім. В.Гетьмана. - К, 2007. - 20с. -укр.
4. Облік і аудит нематеріальних активів: теорія, організація, методика: Автореф. дис... канд. екон. наук: 08.06.04 [Електронний ресурс] / C.B. Шульга; Держ. акад. статистики, обліку та аудиту Держкомстату України. - К, 2006. - 21с. - укр.
5. Облік, аналіз та аудит праці і її оплати: Автореф. дис... канд. екон. наук: 08.04.06 [Електронний ресурс] / Т.Г. Мельник; Київ. нац. ун-т ім. Т.Шевченка. - К., 2006. - 20с. - укр.
6. Фінансовий облік та внутрішній аудит товарних запасів в оптовій торгівлі України: Автореф. дис... канд. екон. наук: 08.06.04 [Електронний ресурс] / O.A. Зоріна; Укоопспілка, Львів, комерц. акад. - Л., 2005. -21с. - укр.
7. Облік та аудит фінансових результатів діяльності промислових підприємств: Автореф. дис... канд. екон. наук: 08.06.04 [Електронний ресурс] / Г.М. Курило; Київ. нац. екон. ун-т. - К., 2004. - 19с. табл. - укр.
8. Ширяева O.B. MCA 401 «Аудит в среде компьютерных информационных сетей» («Внедрение Международных стандартов финансовой отчетности (МСФО) в кредитной организации») / О.В. Ширяева // Бухгалтерия и финансы. - 2007. - № 2. - С. 19-24.
9. Славкова О.П. Особливості проведення аудиту в комп'ютерному середовищі / О.П. Славкова // Економіка АПК. - 2006. - №3. - С.45-49.
10. Тарасенко Ю.О. Особливості аудиту в комп'ютерному середовищі / Ю.О. Тарасенко // Збірник тез наукових доповідей XI Міжвузівської студентсько-аспірантської конференції 21 листопада 2008 року «Перспективні напрями реформування фінансової системи України».
11. http : //buklib. net/component/option, com jbook/task, view/Itemi.
12. http://library.if.ua/book/78/5611 .html.
О. Пугаченко
Особенности аудита информационных систем и технологий
Обобщено практику проведения аудита в компьютерной среде и представлено собственное видение аудита информационных систем и технологий. Предложен порядок оценки аудиторами результатов процесса внедрения новой компьютерной техники и программного обеспечения предприятия-заказчика аудита.
О. Pugachenko
Features of audit of the informative systems and technologies
It is generalized practice of audit conducting in a computer environment and own vision of audit of the informative systems and technologies is presented. The order of estimation is offered by the public accountants of process results of new computer technique introduction and company - customer audit software.