Процесс проведения аудита информационных систем. Использование методов анализа рисков

Введение

Реформирование российской экономики обусловило необходимость создания и развития новых экономических институтов, регулирующих взаимоотношения различных субъектов предпринимательской деятельности, среди которых достойное место должен занять институт аудита, являющийся неотъемлемой частью рыночных отношений. Опыт становления и развития российского аудита показал невозможность прямого переноса методологии развитых капиталистических стран на реорганизуемую экономику постсоветского периода. Поэтому в настоящее время идет активная работа над созданием концепции развития аудита и в целом аудиторской деятельности для условий России.

Основными целями создания данной концепции является построение модели функционирования аудита, адекватной потребностям российской экономики, совершенствование форм и методов проведения аудиторских проверок с учетом развития аудита в России и требований международных стандартов по бухгалтерскому учету и аудиту.

В современных условиях становление аудита и в целом аудиторской деятельности должно быть, прежде всего, направлено на реализацию и усиление контрольной функции аудита, что может быть достигнуто только в результате перехода от модели подтверждающего к модели системно-ориентированного аудита. Такой подход требует активного применения средств и методов научного познания, и особенно метода моделирования, использующего мощные средства современной математики и информационных технологий. Информационное моделирование позволит изучать особенности, свойства, взаимосвязи аудиторской деятельности, тенденции ее развития в России и за рубежом. Информационно-математическое моделирование аудиторской деятельности должно стать основой процесса построения модели функционирования российского аудита.

Задачи компьютерной информационной системы аудиторской деятельности

В практике проектирования компьютерной информационной системы аудиторской деятельности (КИС АД) прослеживаются два принципиально различающихся подхода к их созданию.

1. Использование набора тестов (рабочих таблиц), ориентированных на ввод констатирующей информации о соблюдении тех или иных правил бухгалтерского учета. При этом бухгалтерская информация клиента полностью или частично игнорируется. Этот путь может привести к существенному риску пропуска ошибок, поэтому более перспективен второй подход.

2. Ориентирование на первичную информацию клиента, в которой отражены хозяйственные операции на синтетическом и аналитическом уровне. В этом случае требуются существенные затраты времени на ввод данных клиента.

В рамках второго подхода возможны два способа создания КИС АД:

система компьютеризации аудита по этапам;

система компьютеризации аудита по комплексам задач.

Система компьютеризации аудита по этапам предполагает использование сетевой архитектуры и хранение всех данных в единой базе, к которой пользователи системы должны иметь авторизованный доступ соответствующего уровня. Пользователям предоставляют разные права по работе с системой, которые в простом варианте делятся на два уровня: руководитель проверки и аудиторы. Вся информация, записанная в базу данных, должна быть доступна одновременно всем членам аудиторской группы.

Выделяются три этапа технологии работы аудитора в условиях КИС АД:

подготовительный этап;

проведение проверки;

завершающий этап.

На подготовительном этапе изучается и записывается в базу данных информация о клиенте, данные главной книги, показатели бухгалтерской отчетности и другая информация. Изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица определяется используемой им системой компьютерной обработки данных (КОД).

При проведении аудита в системе КОД сохраняются цель и основные подходы к определению методов проведения аудита. Однако КОД влияет на изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица. Это вызвано тем, что источниками информации для аудитора выступают учетные документы на машиночитаемом носителе, в памяти компьютера находится постоянная нормативно-справочная информация, применяется автоматизированная форма бухгалтерского учета.

Работая в среде КОД, аудитор изучает организационную форму обработки данных, форму бухгалтерского учета и его автоматизированные разделы, применение локального или сетевого варианта обработки данных, обеспечение архивирования и хранения данных. Аудитор должен также описать техническое, программное, технологическое обеспечение КОД. Он оценивает возможности компьютерной системы с точки зрения ее гибкого реагирования на изменения хозяйственного законодательства, формирования управленческой отчетности, проведения аналитических процедур, а также степени квалификации учетного персонала в области информационных технологий.

В ходе проведения аудита системы КОД клиента аудитору необходимо осуществить следующие задачи

Необходимо ознакомиться с организационной формой обработки данных и уровнем автоматизации управленческих задач, в том числе задач бухгалтерского учета. На малых предприятиях, где обработка данных выполняется одним бухгалтером, программное обеспечение бухгалтерского учета и информационная база сосредоточены на одном компьютере. При численности бухгалтерии более одного человека речь идет о многопользовательских системах, реализующих работу нескольких пользователей с информационной базой учета. Аудитор должен разбираться в основных отличиях этих технологий, так как это влияет на определяемые им процедуры проверки и риск проводимого аудита.

Аудитор должен дать оценку правильности выбора задач автоматизации и высказать мнение о задачах, участках учета, работе подразделений, где применение компьютерной технологии обработки данных даст наибольший эффект. В первую очередь подлежат автоматизации работы наиболее перегруженных подразделений, которые тормозят работу предприятия. Прежде всего следует автоматизировать учет и анализ дебиторской задолженности.

В ходе проверки аудитору следует изучить и оценить систему документооборота организации: порядок формирования, регистрации, хранения, обработки документов и трансформации первичных документов в систему записей на бухгалтерских счетах. Необходимо выяснить места возникновения первичной информации и степень ее сбора и регистрации. Для этого аудитор должен ознакомиться со схемой расположения автоматизированных рабочих мест управленческих работников на предприятии.

Аудитор должен дать характеристику способам ввода данных и формированию записей о хозяйственных операциях. Автоматизированная и автоматическая генерация бухгалтерских записей и проводок на основе типовых операций и электронных форм документов позволяет избежать многих ошибок, которые неизбежны при ручном вводе и формировании проводок. Ошибка также может содержаться в типовой проводке или в электронных формах, которые необходимо проверить. Следует изучить организацию хранения информации о хозяйственных операциях и возможность быстрого получения информации о хозяйственных операциях, документах и вывода ее на печать.

Обязательной аудиторской процедурой является тестирование вводимых данных в систему КОД бухгалтерского учета. Эта проце дура предполагает тестирование полноты документов в "бумажном" варианте и тестирование соответствия бумажных документов их электронным копиям, введенным в систему. Отсутствие этого соответствия является сигналом того, что отчетность является недостоверной.

Аудитор должен удостовериться в обеспечении сохранности данных информационной системы, в простоте доступа к данным и ограничении несанкционированного доступа к ним.

Особое внимание уделяется проверке надежности средств внутреннего контроля в среде КОД. Аудитор обязан выявить слабые места контроля систем компьютерного учета: рассмотреть аппаратные и программные средства контроля, организационные мероприятия (архивирование данных, проверка на вирус). Ему необходимо проанализировать способы организации контроля полноты и правильности ввода первичной информации в информационную базу, контроля, обработки и выбора данных, дать оценку их достаточности и эффективности. В многопользовательских сетевых системах объектом внимания должен быть процесс передачи данных.

Аудитор должен тщательно проверить правильность алгоритмов расчетов.

Ошибка, заложенная в алгоритм расчета, который многократно применяется к повторяющимся хозяйственным операциям, может исказить результат хозяйственной деятельности.

После осуществления указанных задач на основе полученной информации проводятся предварительный финансовый анализ, оценка уровня существенности и аудиторского риска, разрабатывается общий план аудита и распределяются обязанности между членами аудиторской группы.

При определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием КОД, следует руководствоваться правилом (стандартом) "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной системы".

Планирование аудита в системе КОД осуществляется согласно правилу (стандарту) "Планирование аудита".

При планировании проведения аудита с применением компьютеров нужно учесть следующее: обеспеченность аудиторской организации оборудованием, необходимым как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров; дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом; факт привлечения к работе экспертов в области информационных технологий; знания, опыт и квалификацию аудитора в области информационных технологий; целесообразность использования тестов, производимых без использования компьютера; эффективность использования компьютера при проведении аудита. Составляя общий план и программу аудита, следует принимать во внимание степень автоматизации обработки учетной информации, применяемые экономическим субъектом информационные технологии.

В документах о планировании аудита должны найти отражение характер выполнения процедур аудита с использованием КОД, необходимость привлечения независимого эксперта в целях изучения и оценки системы КОД клиента в целом и отдельных ее сторон, дата и форма предоставления данных из компьютерной системы учета аудитору, особенности предоставления аудиторской документации.

Далее аудиторы в соответствии с полученным заданием самостоятельно проводят анализ бухгалтерских записей по главной книге с целью выявления некорректных и нетипичных операций, определяют уровень существенности показателей по разделам, разрабатывают программы аудита по разделам с учетом особенностей экономического субъекта.

Вторым этапом является проведение проверки, в ходе которой аудитор исследует некоторую совокупность хозяйственных операций (величина совокупности определяется внутрифирменными стандартами). Исследуя отдельную хозяйственную операцию, аудитор должен располагать следующими возможностями: в ходе работы обращаться к сформированной на подготовительном этапе локальной базе правил по своему разделу; регистрировать в базе данных все проверенные операции и свои комментарии по ним; регистрировать допущенные ошибки и нарушения по рассматриваемой хозяйственной операции, используя справочник типовых бухгалтерских ошибок; регистрировать в локальной базе правил своего раздела собственные профессиональные суждения о соблюдении или несоблюдении отдельных правил бухгалтерского учета.

При сборе аудиторских доказательств в системе КОД следует руководствоваться правилом (стандартом)"Аудиторские доказательства". Источниками получения аудиторских доказательств являются данные, которые хранятся в системе КОД бухгалтерского учета в файлах, первичных документах, в массивах информации о хозяйственных операциях. Либо клиент, либо сам аудитор формирует необходимые хронологические и системные учетные регистры в требуемых разрезах и включает их в состав рабочих документов аудитора. Аналогично аудитор может поступить с бухгалтерской отчетностью. Аудитору следует убедиться, что регистры учета, подготовленные системой КОД бухгалтерского учета, соответствуют данным первичного учета.

На завершающем этапе аудитор проводит оценку и анализ полученной в ходе аудита информации. Автоматизация позволяет ему оценить существенность выявленных нарушений. Модулем обработки и оценки должен быстро производиться расчет выявленных нарушений на основе данных по принятым уровням существенности и проверенным операциям, числу выявленных нарушений по счетам и величине проверяемой совокупности. Одновременно с этим должна формироваться справка о количестве и характере так называемых качественных нарушений, т.е. нарушений, не влияющих на сальдо проверяемого счета или по которым невозможно определить величину искажения отчетности.

Итогом проверки раздела для аудитора является мнение о достоверности проверенного раздела, документирование проведенной проверки и подготовка отчета руководителя. При документировании аудита в системе КОД следует руководствоваться правилом (стандартом)"Документирование аудита".

Системы компьютеризации аудита по комплексам задач делятся на два класса систем:

компьютерную систему внутреннего аудита;

компьютерную систему внешнего аудита.

Компьютерная система внутреннего аудита специализирована и отражает особенности конкретных организаций. Система включает два комплекса задач:

комплекс "Документация", предназначенный для проверки правильности отображения финансово-хозяйственных операций в бухгалтерских документах и отчетности;

комплекс "Консультирование", позволяющий на основании отчетности предприятия определить направление его развития и оказывающий помощь в принятии управленческих решений.

Компьютерная система внешнего аудита отличается универсальностью. Она привносится на любой объект аудита извне, а потому должна учитывать общие стандарты и обладать способностью настройки на операционные среды компьютеров клиентов. Как всякая информационная система, она включает функциональную и обеспечивающую части.

Функциональная часть системы представлена четырьмя комплексами задач.

Комплекс "Администрация" предназначен для реализации функции оценки эффективности условий руководства в выборе стратегии финансово-хозяйственной деятельности и текущих решений в отчетном периоде. Здесь решаются задачи аудита заемных средств, финансовой прочности, гибкости, стратегии развития, финансовой устойчивости, платежной способности, комплексного аудиторского анализа.

Комплекс "Персонал" служит оценке существующих на предприятии систем учета финансово-хозяйственных операций, а также выявлению преднамеренных или случайных ошибок учетного персонала. Выделяются две группы задач: задачи проверки бухгалтерской документации, имеющей отношение к отдельным статьям баланса, и задачи анализа финансовых операций по участкам аудита.

Комплекс "Отчетность" обеспечивает проверку финансовой и другой отчетности, контроль согласованности показателей отчетной документации, контроль правильности расчетов.

Комплекс "Консультирование" предназначен для выработки и обоснования действий администрации в последующий период. Состав задач этого комплекса определяется составом задач комплекса "Администрация", но одновременно вырабатываются консультационные.

Что такое аудит информационных систем

удит информационных систем - термин для нас сравнительно новый. Поэтому, прежде чем обратиться к этому понятию, вспомним определения более традиционных видов аудита. При слове «аудит» мы прежде всего представляем проверку финансовой деятельности компаний аудитором. Различают частный аудит и аудит по закону. Частный аудит проводится по запросу, то есть любая фирма может пригласить частного аудитора для проверки своей финансовой деятельности. Аудит по закону - это юридически обоснованная мера. Например, банк, выдающий кредит какой-либо фирме, может потребовать отчета независимого аудитора о финансовом состоянии этой фирмы. Среди наиболее распространенных видов аудита - банковский аудит, то есть комплексная проверка или экспертиза результатов финансово-хозяйственной деятельности банков.

В последнее время функции аудита все больше выходят за рамки проверки финансовой деятельности компании. В обязанность внешних аудиторов входят новые виды экспертизы. Например, операционный аудит предполагает консультирование компании по вопросам управления, оценку эффективности маркетинга, оценку заключенных договоров с точки зрения юридических требований и т.д.

Сегодня ни одно производство, ни одна компания не обходится без информационной системы, причем объектом и результатом труда всего коллектива сотрудников фирм самого разного профиля становится информация. Любая компания ежедневно производит множество самой разнообразной информации. Для эффективного использования информации в организации должны быть внедрены корпоративные стандарты оформления документов, системы коллективной работы, системы документооборота и т.д. Ответ на вопрос, насколько грамотно спланированы все звенья этой работы, и должен дать аудит информационной системы.

Информационные системы стоят больших денег, но попытки сэкономить на грамотном проектировании информационных систем приводят к фатальным результатам.

По данным Gartner Group, средняя компания теряет 2-3% дохода в течение 10 дней после сбоя в работе ИС. На полное восстановление сбоя сети уходит 4,8 дня, после чего компания выходит на прежний уровень рентабельности. Однако 50% компаний, которые не смогли восстановить функциональность в течение этих 10 дней, никогда не выходят на прежний уровень рентабельности, а 93% компаний, игнорирующих планы быстрого восстановления и резервирования данных, в течение 5 лет прекращают свое существование.

Отсутствие стандартов построения и долгосрочных планов развития ИС грозит многим предприятиям огромными финансовыми потерями. ИС требует наличия высокопрофессиональных специалистов, но узкая специализация, в свою очередь, порождает проблемы. Большинство из них возникает именно на стыке технических и управленческих аспектов. Аудит информационных систем как раз и направлен на поиск узких мест, возможных сбоев в работе ИС, а главное - на выяснение причин возникновения этих сбоев.

Таким образом, аудит ИС - это комплексный процесс анализа данных о текущем состоянии информационной системы предприятия, о действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию. Этот процесс завершается предоставлением отчетов, отражающих полную картину ИС руководству.

Аудит информационных систем в России

роблематика аудита информационных систем в последнее время все чаще является предметом обсуждения не только специалистов по информационным технологиям, но и широкого круга управленцев, а также клиентов крупных компаний. Особенно остро проблема оптимизации ИС стоит в России, где многие информационные системы развивались стихийно.

Сбои информационной системы возникают в наиболее напряженные, а значит, и в наиболее ответственные моменты. В настоящее время вопросы аудита информационных систем - это уже вопросы доверия той или иной компании. От того, насколько надежно выстроена в компании информационная система, зависит ее привлекательность для потенциальных клиентов.

В России практически нет специалистов в области аудита ИС, а услуги западных компаний весьма дороги. Восполнить данный пробел на российском рынке взялась компания «Микроинформ», которая с сентября этого года начала проводить курсы в области аудита информационных систем. Для того чтобы ознакомить широкую общественность и журналистов с данной деятельностью, 10 сентября «Микроинформ» и MIS Training Institute (мировой лидер в области подготовки специалистов по IT-аудиту) провели бесплатный семинар «Аудит информационных систем: состояние, проблемы, подготовка специалистов», на котором удалось побывать автору данной статьи.

Генеральный директор «Микроинформ» Б.М.Фридман проинформировал участников о старте в России новой образовательной программы международного уровня по аудиту информационных систем от MIS Training Institute.

Компания MIS Training Institute создана в 1978 году. Основные направления ее деятельности - подготовка специалистов в области информационной безопасности и информационного аудита. По данной тематике MIS Training Institute предлагает около 90 различных курсов. Заказчиками MIS Training Institute являются ведущие мировые компании и банки: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson&Johnson, Chase Manhattan Bank и многие другие. MIS Training Institute является организатором крупнейших международных конференций по проблемам информационной безопасности.

Учебный Центр «Микроинформ» (Сертифицированный Партнер и представитель в России MIS Training Institute) впервые проводит в России комплексную программу международного уровня по подготовке специалистов аудита информационных систем.

Данные программы являются развитием сотрудничества этих компаний, начатого летом минувшего года. Проведенные в течение 2001-2002 годов в «Микроинформ» сертификационные программы MIS Training Institute для специалистов по информационной безопасности вызвали большой интерес у ведущих российских и иностранных компаний.

В качестве пилотной была выбрана программа IT Audit School («Школа аудита информационных систем»), которая закладывает основу профессиональной квалификации аудитора международного уровня. Курс проводился в Москве 9-13 сентября и собрал много желающих, несмотря на достаточно высокие цены (день обучения - 500 долл.) Курс является базовым для аудиторов информационных систем, а также предназначен для финансовых аудиторов, сотрудников служб внутреннего контроля и аудита, внешних аудиторов.

В ходе этой интенсивной пятидневной программы рассматривались следующие вопросы:

• идентификация бизнес-рисков, связанных с информационными системами (ИС), и их минимизация;
• вопросы, касающиеся инфраструктуры ИС, включая аппаратные средства и операционные системы, процесс трансляции и анализ рисков;
• среда контроля ИС (информационная безопасность, организация и управление ИС, сопровождение и поддержка систем);
• необходимые знания о базах данных, распределенных системах, сетях, Интернете и электронной коммерции.

Доклад MIS Training Institute по вопросам аудита информационных систем

а семинаре выступил Фрэд Рот - ведущий инструктор MIS Training Institute по тематике аудита информационных систем. В своем докладе г-н Рот привел краткий обзор состояния данной проблемы в мире, остановился на основных направлениях работ в этой области, уделил особое внимание вопросам подготовки специалистов по аудиту информационных систем в России.

Со ссылкой на опрос Infoworld IT Security Survey г-н Рот привел данные (рис. 1), свидетельствующие о том, что развитие ИС в мире в существенной мере тормозится именно опасениями в связи с недостаточной безопасностью информационных технологий. Цифры показывают, что более всего респонденты обеспокоены недостаточной безопасностью, связанной с Web-сервисами, с передачей информации по беспроводным каналам и с электронной коммерцией (B2B и B2C). Безопасность систем класса Entrprise Applications (здесь речь идет прежде всего о продуктах таких компаний, как SAP, People Soft, BAAN) вызывает беспокойство только 7% опрошенных, причем следует подчеркнуть, что наличие подобных систем существенно упрощает проведение ИС-аудита. Говоря о соотношении опасений и реальных случаев возникновения проблем в ИС по причине их недостаточной безопасности, Фрэд Рот привел соответствующие данные (рис. 2). Информационные системы большинства компаний сталкиваются с внедрением вирусов.

В докладе г-на Рота были также приведены данные о тех мероприятиях, которые планируются компаниями, принявшими участие в опросе Infoworld IT Security Survey, по увеличению безопасности ИС (рис. 3). Более половины компаний связывают меры по усилению безопасности своих ИС с внедрением виртуальных частных сетей, а 37% опрошенных собираются прибегнуть к консалтингу и обучению своих специалистов. Последние цифры свидетельствуют о потенциально высокой актуальности аудита ИС, так как постоянное проведение аудита гарантирует стабильность функционирования информационных систем.

В докладе были изложены основные понятия аудита ИС и принципы его проведения. Докладчик остановился на вопросах структуры аудита ИС (рис. 4). Вопросы финансового аудита и аудита ИС смыкаются в области решения проблем оптимизации работы приложений ИС. Помимо вопросов безопасности проведение аудита ИС поможет решить ряд важных задач: определить соответствие существующей ИС целям и задачам бизнеса, вычислить оптимальность инвестиций в ИС, снизить расходы на обслуживание.

Процесс аудита информационных систем можно представить в виде своеобразных весов (рис. 5), где на одной чаше рассматриваются системы безопасности доступа, на другой - контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в компании.

Основные направления контроля при аудите ИС включают изучение корпоративных стандартов, анализ рабочих процессов компании, анализ схемы сети и сетевого трафика в различных сегментах сети, анализ бизнес-процессов и целый круг других вопросов (рис. 6).

После проведения аудита ИС заказчик получает информацию об источниках и величине потерь организации. Аудит позволяет определить эффективность корпоративных стандартов, найти пути их улучшения, оценить величину затрат на внедрение и поддержание более эффективных корпоративных стандартов и выявить эффективность их применения. Эта информация позволяет определить причины и источники возникновения сбоев и наладить процессы поддержки так, чтобы возникающие сбои были легко устраняемы. По результатам аудита ИС могут быть разработаны и корпоративные стандарты, внедрение которых значительно повышает надежность функционирования информационных систем.

КомпьютерПресс 11"2002

Глава 5. ИНФОРМАЦИОННЫЕ СИСТЕМЫ АУДИТА

5.1. ПРЕДПОСЫЛКИ СОЗДАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Использование персональных компьютеров и современных информационных технологий в аудиторской деятельности регулируется стандартами аудита.

В российских правилах (стандартах) эти проблемы нашли отражение в трех стандартах: «Аудит в условиях компьютерной обработки данных», «Проведение аудита с помощью компьютеров», «Оценка риска и внутренний контроль; характеристика и учет среды компьютерной и информационной систем». В принятых в настоящее время федеральных правилах (стандартах) аудиторской деятельности аналогичных стандартов нет, поэтому основные положения российских стандартов не потеряли своей актуальности. Поскольку применение компьютеров в аудите - объективно существующая реальность, в федеральных стандартах также в том или ином контексте упоминаются и компьютерные информационные системы бухгалтерского учета, и методы аудита с помощью компьютеров.

Из приведенного списка российских стандартов видно, что для российских аудиторов разработаны наиболее существенные из стандартов, имеющих отношение к компьютеризации аудита. Созданные российские правила (стандарты) ориентированы на прогрессивные компьютерные информационные системы, они учитывают специфику российского бухгалтерского учета и аудита. Эти стандарты до сих пор дополняют такие федеральные стандарты, как «Планирование», «Внутренний контроль качества аудита», «Оценка рисков и внутренний контроль, осуществляемый аудируемым лицом», «Аудиторская выборка».

И российские, и федеральные стандарты ориентированы на более эффективное достижение цели аудита и описание особенностей реализации основных принципов и методов аудита в современных условиях.

Использование компьютеров и информационных технологий характерно как для аудируемых лиц, так и для аудиторских организаций и индивидуальных аудиторов.

Общие положения о компонентах компьютерного аудита, основных понятиях и подходах к его организации на аудиторских фирмах и у индивидуальных аудиторов можно получить на основании первого и второго правила (стандарта) из перечисленных российских стандартов. Эти два стандарта тесно взаимосвязаны, хотя первый имеет бoльшее отношение к аудируемым лицам, а второй - непосредственно к аудиторам и аудиторским организациям.

В практических условиях могут возникнуть следующие варианты проведения компьютерного аудита (табл. 5.1).

Таблица 5.1

Наличие компьютеров при проведении аудита

Наиболее благоприятен и предпочтителен 3-й вариант. В этом случае компьютеры использует и экономический субъект для автоматизации управленческих работ, и аудитор - в процессе аудита.

Однако само по себе наличие персональных компьютеров в бухгалтерии аудируемого лица еще не является достаточным компонентом системы компьютерной обработки данных. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В первом стандарте для этого введено понятие «компьютерная обработка данных» (КОД).

Что касается аудиторской организации, то здесь компьютеры могут использоваться не только для автоматизации управленческих работ аудиторской организации, но и для проведения аудита у экономических субъектов. При этом понятие «использование компьютеров для проведения аудита» весьма общее и может включать следующие направления использования (табл. 5.2).

Таблица 5.2

Варианты использования ПК в аудиторской деятельности

Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.

Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)

Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.

Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала

Выполнение услуг, сопутствующих аудиту

5.2. АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Аудиторская деятельность представляет собой информационную систему, так как включает три ее основных компонента:

Информацию как предмет и продукт труда;

Средства, методы и способы переработки информации;

Персонал, который реализует информационный процесс.

В настоящее время на рынке пакетов прикладных программ уже появились пакеты, позволяющие использовать компьютеры в работе аудиторов. Это связано с тем, что сложились определенные предпосылки разработки комплексной системы автоматизации аудиторской деятельности (СААД):

Высокий уровень развития средств вычислительной техники, средств коммуникации и информационных технологий. Применение персональных компьютеров и информационных технологий позволяет не только выполнять рутинные операции по формированию аудиторской документации, поиску и использованию положений законодательных и нормативных актов, но и решать более сложные задачи, связанные с анализом системы внутреннего контроля, расчетами экономических показателей, реализацией различных запросов к базе данных, создаваемой в системе автоматизации бухгалтерского учета, выработать рекомендации по стратегии улучшения финансово-хозяйственной деятельности;

Автоматизация бухгалтерского учета. В процессе работы автоматизированной системы бухгалтерского учета (АСБУ) формируется информация о хозяйственной деятельности экономического субъекта в форме электронной базы данных, анализ которой возможен с применением компьютера;

Математические методы экономического анализа. Существующий математический аппарат анализа финансово-хозяйственного состояния экономического субъекта позволяет разработать и реализовать автоматизированные системы анализа;

Высокоразвитые информационно-справочные системы. Компьютер позволяет получить любые необходимые справки в области законодательства, нормативных актов и использовать их содержание при обосновании аудиторских выводов и формировании аудиторской документации;

Удобные системы для работы с различными редактируемыми текстами. Применение этих систем помогает ауди- тору в формировании документации с использованием информации, получаемой одновременно из разных баз данных.

Задачи аудиторской деятельности отражаются в функциональной структуре СААД, а ее работа, выполнение предусмотренных задач связаны с наличием информационного, технического, математического, программного, технологического, организационного, правового и эргономического обеспе- чения.

Основу для разработки любой информационной системы составляет ее функциональная структура, которая представляет собой декомпозицию целей системы до уровня решаемых задач. Функциональная структура СААД отражает два основных направления аудиторской деятельности: собственно аудит и услуги, сопутствующие аудиту.

Собственно аудит состоит из последовательного выполнения комплексов работ, осуществляемых в несколько этапов:

Ознакомление с особенностями экономического субъекта;

Анализ организации бухгалтерского учета и системы внутреннего контроля;

Оценка достоверности базы данных и возможного аудиторского риска при использовании этой базы для формирования аудиторского заключения;

Планирование аудита и разработка аудиторских процедур;

Выполнение аудиторских процедур;

Формирование отчета и аудиторского заключения.

Каждый этап должен отражаться в формируемой аудиторской документации и соответствовать положениям федеральных и внутренних правил (стандартов) аудиторской деятельности.

Практически на всех этапах аудитор может использовать возможности компьютера, но не на каждом из них можно полностью автоматизировать сложную работу аудитора, опирающегося не только на строгие логические построения и расчеты, но и на накопленный опыт и интуицию, играющие далеко не последнюю роль в его деятельности.

Сопутствующие аудиту услуги включают самые разные виды работ, многие из которых можно эффективно выполнять с использованием средств вычислительной техники. К ним относятся: проведение анализа деятельности администрации, финансового состояния экономического субъекта, консультационные и прочие услуги (ведение учета экономического субъекта, восстановление учета, автоматизация учета и др.).

5.3. ПРИМЕНЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПРИ ПРОВЕДЕНИИ АУДИТОРСКОЙ ПРОВЕРКИ

Рассмотрим содержание основных этапов проведения аудиторской проверки и возможности применения компьютеров в процессе проверки.

I этап - ознакомление с особенностями экономического субъекта. В соответствии с федеральным правилом (стандартом) № 15 «Понимание деятельности аудируемого лица» может быть выполнено только путем просмотра документов, описывающих основные виды деятельности, организационную и производственную структуру, регистрационных и лицензионных документов. Если такая информация содержится в базе данных АСБУ в доступной аудитору электронной форме, то последний может переносить в формируемый отчет фрагменты документации в режиме редактирования.

II этап - анализ особенностей бухгалтерского учета. Осуществляется в соответствии с федеральными правилами (стандартами) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом», № 19 «Особенности первой проверки аудируемого лица». Объектами анализа являются: внешние и внутренние условия работы бухгалтерии, организация учета, утвержденная учетная политика, рабочий план счетов, состав учитываемых хозяйственных операций и их отражение в виде проводок, состав бухгалтерских регистров, отражающих количественно-суммовой, аналитический и синтетический учет.

Анализ внешних и внутренних условий работы бухгалтерии проводится обычно в форме теста. Формирование рабочей таблицы, обработку результатов опроса можно выполнить с использованием компьютера.

Анализ учетной политики (УП) можно провести, сопоставляя ее разделы с некоторой нормативной формой учетной политики (НУП), охватывающей все аспекты бухгалтерского учета с описанием всех допустимых альтернативных вариантов учета и содержащей ссылки на соответствующие нормативные документы. Каждый пункт НУП аудитор оценивает с точки зрения наличия в УП (отражен/не отражен), а каждый пункт УП - с точки зрения допустимости выбранного варианта учета (допустимый вариант/недопустимый вариант). Таким образом формируется фрагмент аудиторского отчета.

Для реализации данной технологии анализа УП в базу данных СААД должен входить справочник «Нормативная учетная политика» (например, в форме таблицы), содержащий разделы: участок учета, объект учета, допустимые альтернативы учета, нормативные документы.

Технически анализ упрощается, если УП экономического субъекта предоставляется аудитору в электронном виде.

В этом случае работа сводится к сравнению данных таблиц, представленных в двух окнах - УП и НУП.

Результаты анализа могут быть представлены в виде табл. 5.3.

Таблица 5.3

Анализ учетной политики экономического субъекта

Графы 1, 2 и 4 заполняются из НУП, а графа 3 - из УП. При отсутствии такого раздела в УП в графу 5 рабочей таблицы заносится комментарий «нужен»/«не нужен».

Составленная таким образом рабочая таблица представляет аудиторское обоснование вывода о качестве УП экономического субъекта.

Анализ рабочего плана счетов и системы аналитического учета сводится к просмотру на экране или распечатанного рабочего плана счетов (РПС).

Организацию аналитического учета по каждому синтетическому счету, реализованную в АСБУ, можно выяснить, познакомившись с содержанием бухгалтерских регистров по счетам.

Для анализа правомерности применения синтетического или аналитического счета с целью учета хозяйственных операций в базе СААД необходим файл, содержащий нормативный план счетов (НПС) со следующей структурой: синтетический счет, субсчет, аналитические счета, объект учета.

Анализ состава учитываемых хозяйственных операций и анализ их отражения в журнале бухгалтерских проводок (ЖБП) существенно упрощаются, если аудитор имеет ЖБП в виде файла-списка, каждая запись которого отражает следующие данные о проводке: счет (субсчет) дебетуемый, счет (субсчет) кредитуемый, сумма, дата, комментарий, документ-основание, хозяйственная операция.

Опыт показывает, что такой файл обязательно присутствует в АСБУ любой конфигурации и согласно положениям правила (стандарта) «Аудит в условиях компьютерной обработки данных» может быть использован аудитором в своей работе.

На этапе знакомства с особенностями системы бухгалтерского учета экономического субъекта, имея ЖБП (его электронную копию), аудитор может получить состав применяемых бухгалтерских проводок с количественной и суммовой оценкой каждой используемой корреспонденции.

В результате обработки данных ЖБП может быть получена рабочая таблица (табл. 5.4) применяемых бухгалтерских записей (проводок).

Таблица 5.4

Анализ состава бухгалтерских записей (проводок)

В графу 3 по каждой корреспонденции, определяемой графами 1, 2, заносится количество записей ЖБП, содержащих корреспонденцию, а в графу 4 - накопленная сумма по всем этим записям.

Итог графы 3 характеризует объем проверяемого массива, а ее строки - количество однотипных учитываемых операций. Строки графы 4 дают представление о значимости отдельных корреспонденций для оценки как достоверности проверяемой информации, так и результатов хозяйственной деятельности экономического субъекта за проверяемый период.

Содержание данной таблицы позволяет аудитору выявить некорректные с точки зрения НПС корреспонденции. Для автоматического выявления некорректных проводок в базе данных СААД обязательно должен быть файл-список типовых бухгалтерских проводок, запись которого отражает следующие данные: счет дебетуемый, счет кредитуемый, хозяйственная операция, документ-основание, учитываемая сумма.

На основании данных ЖБП и данных файла типовых бухгалтерских проводок автоматически в графе 5 делается отметка о некорректности проводки, если такая корреспонденция отсутствует в файле типовых бухгалтерских проводок.

Анализ на корректность бухгалтерских проводок можно проводить как по всем, так и по отдельным счетам бухгалтерского учета.

Анализ регистров бухгалтерского учета аудитор начинает с просмотра состава предлагаемых АСБУ бухгалтерских регистров. Регистры аналитического и синтетического учета имеют форму, общую для всех используемых счетов.

Регистры количественно-суммового учета каждого отдельного участка имеют свою специфику и, как правило, содержат исчерпывающую информацию о каждом отдельном объекте учета.

Для последующих этапов, в частности планирования аудита и определения уровня существенности, очень важна информация, содержащаяся в обобщающем регистре, - оборотно-сальдовом балансе (ОСБ) за проверяемый период. Имея файл ОСБ, аудитор может получить рабочую аналитическую таблицу с оценкой удельного веса сальдо и оборотов по счетам (субсчетам) бухгалтерского учета.

По данным такой таблицы аудитор может выделить счета (субсчета) с наибольшими (превышающими заданный порог) значениями или сальдо, или оборотов, или удельного веса (процент итога по графе), имеющих существенное значение при расчете финансовых результатов деятельности экономического субъекта. Критерии отбора, выделения счетов (субсчетов) для углубленной проверки разрабатываются каждой аудиторской фирмой или аудитором и являются их ноу-хау.

III этап - анализ системы внутреннего контроля (СВК). Также проводится аудитором в соответствии с федеральным правилом (стандартом) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» для определения допустимого аудиторского риска. Допустимый аудиторский риск зависит от результатов оценки неотъемлемого риска системы бухгалтерского учета и риска СВК экономического субъекта.

На этапе планирования аудиторской проверки оценку надежности системы бухгалтерского учета и системы внутреннего контроля выполняют с использованием тестов. Компьютер может быть использован как для формирования таблицы с вопросами, так и для обработки заполненной таблицы.

При выполнении аудиторских процедур по существу аудитор постоянно уточняет предварительную оценку. Аудитор анализирует СВК по следующим направлениям: деятельность персонала по обработке первичной документации и формированию журнала бухгалтерских проводок; формирование регистров бухгалтерского учета; использование и приведение в соответствие данных участков учета в сводном учете; формирование финансовых результатов и расчет оценочных показателей и налогов; формирование бухгалтерской отчетности.

Оценка контроля за деятельностью персонала по обработке первичной документации и формированию журнала бухгалтерских проводок - наиболее ответственная и трудоемкая часть знакомства с системой бухгалтерского учета. Журнал бухгалтерских проводок содержит информацию обо всех хозяйственных операциях, включая формирование финансовых результатов, начисление и перечисление сумм налогов. Только после того, как аудитор получит достаточные основания считать достоверной информацию ЖБП в части отражения всех хозяйственных операций, т.е. даст высокую оценку СВК с данной точки зрения, он приступает к проверке расчета финансовых результатов, начисляемых сумм налогов и правильности заполнения отчетных форм. Если СВК не удовлетворит аудитора, то процесс анализа содержания ЖБП существенно усложнится и потребуется работа большого объема с первичными документами.

Журнал бухгалтерских проводок является результатом работы бухгалтеров разных участков учета. В зависимости от конфигурации АСБУ эти участки могут представлять собой отдельных бухгалтеров, каждый со своей базой данных (своими классификаторами, рабочими массивами для ведения количественно-суммового учета, своим ЖБП) или АРМ бухгалтеров, объединенных в сеть и работающих в одной базе данных с едиными

классификаторами, рабочими массивами и ЖБП. Возможны также комбинации этих вариантов. Конфигурация АСБУ определяет объекты анализа СВК за формированием ЖБП, на основании которого формируется проверяемая бухгалтерская отчетность. Если АСБУ состоит из изолированных АРМ, особым объектом контроля становится процесс переноса данных с участков учета в сводный файл ЖБП. Если АСБУ представляет собой единую информационную систему, необходимость в таком контроле отпадает, но появляется необходимость исключения несанкционированного доступа к информации, содержащейся в единой базе данных.

В любом случае анализ деятельности персонала по обработке первичных документов и формированию ЖБП удобно проводить по отдельным участкам учета, каждый из которых характеризуют следующие элементы:

1) состав обрабатываемых первичных документов;

2) структура рабочей базы данных, отражающая специфику объектов учета;

3) состав учитываемых хозяйственных операций;

4) состав синтетических и аналитических бухгалтерских счетов;

5) преобразование хозяйственных операций в бухгалтерские проводки;

6) формы регистров, отражающих количественно-суммовой учет;

7) регистры, отражающие аналитический и синтетический учет.

Состав обрабатываемых первичных документов может быть проанализирован, если в ЖБП есть раздел «документ-основание» или инструкция бухгалтеру содержит перечень и описание таких документов.

Если база данных АСБУ и инструкции не содержат информации об обрабатываемых первичных документах, аудитор вынужден использовать подшивки первичных документов, проводить опрос исполнителей о технологии работы с ними.

Для оценки полноты и форм обрабатываемых первичных документов-оснований аудитор использует имеющийся в базе СААД файл типовых бухгалтерских проводок, уже примененный аудитором при проверке их корректности.

Чем подробнее элементы 1–4 и методика преобразова- ния 5 изложены в инструкции бухгалтеру, работающему на данном участке учета, тем выше оценка СВК и ниже ее риск. Чем выше квалификация бухгалтера, тем выше оценка качества системы бухгалтерского учета, тем ниже ее неотъемлемый риск и риск СВК.

В современных АСБУ преобразование 5 выполняется во многих случаях в автоматическом режиме при вводе данных с документа-основания, подтверждающего проведение хозяйственной операции. При этом оно может сопровождаться следующими ошибками: неправильное оформление документа, неверная корреспонденция счетов, искажение фактических данных (суммы, даты, наименования и т.д.).

Вероятность той или иной ошибки зависит от особенностей обрабатываемого первичного документа, методики формирования корреспонденции счетов и организации контроля ввода исходных данных.

Ошибки первого типа - в оформлении документов могут возникнуть, если первичный документ формируется и остается в самой бухгалтерии, так как в этом случае функции исполнения и контроля совмещены.

Часто документы-основания формируются в других подразделениях экономического субъекта в электронном виде, и этого достаточно для появления соответствующих проводок в ЖБП. Окончательная печать и оформление таких документов необходимыми подписями может откладываться на неопределенный срок, что также увеличивает вероятность появления ошибки в оформлении документа.

Если первичные документы поступают в бухгалтерию извне (от другой организации), вероятность неправильного оформления таких документов практически равна нулю.

Для оценки системы внутреннего контроля за оформлением первичных документов-оснований аудитор проводит выборочную проверку множества этих документов. Для этого он, во-первых, определяет круг документов с наибольшей вероятностью недооформления (например, документы, формируемые и остающиеся в бухгалтерии), во-вторых, строит репрезентативную выборку.

Как правило, одновременно с проверкой качества оформления первичных документов аудитор оценивает и вероятность появления ошибок второго типа - ошибок формирования бухгалтерских проводок.

Зачем проводить аудит информационных систем?

Сергей Гузик, JetInfo

Определение и задачи аудита

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена ИС, что влечет за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.
Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.
Спектр угроз расширился. Это обусловлено следующими причинами:
передача информации по сетям общего пользования;
"информационная война" конкурирующих организаций;
высокая текучка кадров с низким уровнем порядочности.
По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:
идеи;
знания;
проекты;
результаты внутренних обследований.
В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры "остается за кадром" и к решению не прилагается.
Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:
Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).
Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
Как оптимизировать инвестиции в ИС?
Что происходит внутри этого "черного ящика" - ИС организации?
Сбои в работе ИС, как выявить и локализовать проблемы?
Как решаются вопросы безопасности и контроля доступа?
Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?
Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?
Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?
Почему все время производится закупка дополнительного оборудования?
Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?
Какие действия предпринимать в случае возникновения внештатной ситуации?
Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
Как снизить стоимость владения ИС?
Как оптимально использовать сложившуюся ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.
Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит Информационной Системы.

ISACA (Ассоциация аудита и контроля информационных систем)

Подход к проведению аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался.
Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау".
Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС.
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.
Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.

CoBiT (Контрольные Объекты Информационной Технологии)

CoBiT - Контрольные ОБъекты Информационной Технологии - открытый стандарт, первое издание, которое в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (Рис. 1).

А теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:
Трудовые ресурсы - под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.
Приложения - прикладное программное обеспечение, используемое в работе организации.
Технологии - операционные системы, базы данных, системы управления и т.д.
Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания.
Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита ИС по следующим критериям:
Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.
Технический уровень - критерий соответствия стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность информации.
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.
Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:
технические стандарты;
кодексы;
критерии ИС и описание процессов;
профессиональные стандарты;
требования и рекомендации;
требования к банковским услугам, системам электронной торговли и производству.
Стандарт разработан и проанализирован сотрудниками соответствующих подразделений ведущих консалтинговых компаний и используется в их работе наряду с собственными разработками.
Применение стандарта CoBiT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач.
Если в первом случае - это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - ИС, стремящаяся к идеалу.
В дальнейшем мы будем рассматривать аудит ИС, подразумевая при этом, что на любом этапе возможно решение обратной задачи - проектирования ИС.
Несмотря на малый размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.
На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.
Отличительные черты CoBiT:
1. Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).
2. Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).
3. Адаптируемый, наращиваемый стандарт.
Рассмотрим преимущества CoBiT перед многочисленными западными и российскими разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям отечественных ИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

Практика проведения аудита ИС

Представленная на Рис. 2 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:
Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Проведение анализа - наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации.
Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Результаты проведения аудита

Результаты аудита ИС организации можно разделить на три основных группы:
1. Организационные - планирование, управление, документооборот функционирования ИС.
2. Технические - сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.
3. Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволит обоснованно создать следующие документы:
Долгосрочный план развития ИС.
Политика безопасности ИС организации.
Методология работы и доводки ИС организации.
План восстановления ИС в чрезвычайной ситуации.

Требования к представлению информации

Ассоциация ISACA разработала и приняла требования к представлению информации при проведении аудита. Применение стандарта CoBiT гарантирует соблюдение этих требований.
Основное требование - полезность информации. Чтобы информация была полезной, она должна обладать определенными характеристиками, среди которых:
1. Понятность. Информация должна быть понятной для пользователя, который обладает определенным уровнем знаний, что не означает, однако, исключения сложной информации, если она необходима.
Уместность. Информация является уместной или относящейся к делу, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие, будущие события или подтверждать и исправлять прошлые оценки.
На уместность информации влияет ее содержание и существенность. Информация является существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Еще одна характеристика уместности - это своевременность информации, которая означает, что вся значимая информация своевременно, без задержки включена в отчет и такой отчет предоставлен вовремя.
Неким аналогом принципа уместности в отечественной практике может служить требование полноты отражения операций за учетный период, хотя требование отражения всей информации не тождественно требованию отражения существенной информации.
Достоверность, надежность. Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Чтобы быть достоверной, информация должна удовлетворять следующим характеристикам:
- правдивость;
- нейтральность - информация не должна содержать однобоких оценок, то есть информация не должна предоставляться выборочно, с целью достижения определенного результата;
- осмотрительность - готовность к учету потенциальных убытков, а не потенциальных прибылей и как следствие - создание резервов. Такой подход уместен в состоянии неопределенности и не означает создание скрытых резервов или искажения информации;
- достаточность информации - включает такую характеристику, как требование полноты информации, как с точки зрения ее существенности, так и затрат на ее подготовку.

Потребность отечественного рынка в данной услуге

При оценке необходимости проведения аудита ИС необходимо акцентировать внимание на следующих моментах (см. Таб. 1):
сложности решаемых задач - постоянное увеличение, как количественное, так и качественное, задач, решаемых ИС;
разветвленности ИС - сложность в обслуживании, территориальная распределенность;
перспективности бизнеса - новые направления, рынки, условия работы;
руководство организацией - умение и желание руководителей стратегически мыслить, видеть перспективы, открываемые стандартизованным подходом, основанные на передовом опыте.
Кто заинтересован в проведении аудита? Прежде всего, это коммерческие или бюджетные организации и предприятия для обоснования инвестиций в ИС, системные интеграторы, ИТ компании для оценки влияния ИС на основной бизнес-процесс и расширения спектра предлагаемых услуг.
Для компаний, проводящих финансовый аудит - аудит ИС, дополнительная услуга, которая способна повысить рейтинг компании на рынке.
Генеральным подрядчикам работ будет интересна возможность оценить работу субподрядчиков в сфере ИТ.
А также проведение аудита ИС по стандарту CoBiT будет интересно любым предприятиям и организациям, имеющим или планирующим создание ИС и которые заинтересованы в получении ответов на вопросы, приведенные во введении этой статьи.

Таблица 1. Результаты проведения аудита.

"МСФО и МСА в кредитной организации", 2010, N 1

Сегодня сложно представить успешную компанию, которая не использовала бы в своей деятельности информационные технологии. И компьютер может заключать в себе одновременно несколько активов: основное средство, нематериальные активы в виде программного обеспечения, систему управления, инструмент подготовки финансовой отчетности, риск и т.д. А потому аудит компьютерных систем в соответствии с международными стандартами является одним из наиболее сложных случаев аудита. В чем же заключаются возможные трудности?

Основные процедуры, которые необходимо соблюдать при проведении аудита в условиях использования компьютерных информационных систем, раскрыты в МСА 401 "Аудит в среде компьютерных информационных систем".

Объектом применения данного МСА компьютерные информационные системы являются, когда организация применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер этой организацией или третьей стороной. Общая цель и объем аудита в среде таких систем не меняются, однако их применение может повлиять на:

• процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля;
• анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;
• разработку и проведение аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

Аудитор может отходить от требований МСА, но только обязательно аргументируя причины такого действия.

В разделе "Умение и компетентность" определены требования, предъявляемые к уровню подготовки и квалификации аудитора для такой работы, и степень его ответственности в случае делегирования полномочий помощникам или при использовании результатов работы, проведенной третьими лицами. Аудитор должен обладать достаточным знанием компьютерных систем, для того чтобы планировать, направлять, контролировать и проверять выполняемую работу.

Необходимость в специальных знаниях и взаимодействие с экспертом

Аудитор должен оценить необходимость применения специальных знаний об информационных системах для проведения аудита. Они могут понадобиться для:

• достаточного представления о системах бухгалтерского учета и внутреннего контроля, на которые влияет среда компьютерных информационных систем;
• определения влияния компьютерных систем на оценку общего риска, риска на уровне сальдо счетов и класса операций;
• разработки и проведения соответствующих тестов контроля и процедур проверки по существу.

Если необходимость в специальных знаниях есть, аудитор может обратиться за помощью к специалисту, который обладает такими знаниями и является либо работником аудиторской фирмы, либо приглашенным экспертом. Однако при этом он должен сохранять главенствующее положение. По отношению к эксперту оно проявляется в том, что эксперт оценивает только системы обработки информации, а аудитор - достоверность результатов полного анализа всей информационной архитектуры. Аудиторы не могут ни передавать, ни разделять с кем-либо (в т.ч. с экспертом) свою ответственность за выражение мнения о состоянии IT-системы и составленного на его основе аудиторского заключения. Более подробно этот вопрос освещен в МСА 620 "Использование работы экспертов".

Эксперт может быть привлечен на договорной основе клиентом или аудитором или являться сотрудником клиента или аудитора.

В соответствии с МСА 220 "Контроль качества аудита финансовой отчетности организации" при оценке способностей и компетентности эксперта, который является сотрудником аудиторской фирмы, аудитор должен полагаться на внутрифирменную систему контроля качества в отношении набора и подготовки персонала, что освобождает аудитора от необходимости оценивать способности и компетентность эксперта каждый раз при его привлечении к выполнению аудиторского задания.

Планируя использовать работу эксперта, аудитор должен оценить его профессиональную компетентность. Такая оценка включает следующие критерии:

• наличие у эксперта профессионального аттестата или лицензии либо членство в соответствующей профессиональной организации;
• наличие у эксперта опыта и репутации в той области, в которой аудитор проводит сбор аудиторских доказательств.

Аудитор должен также оценить объективность эксперта. Риск того, что эксперт будет не вполне объективен, увеличивается, если он является сотрудником клиента или связан с клиентом каким-либо иным образом, например является финансово зависимым от клиента или имеет инвестиции в его деятельность.

Если аудитор сомневается в компетентности или объективности эксперта, то ему необходимо обсудить с руководством любые сомнения на этот счет и вероятность получения достаточных надлежащих аудиторских доказательств в отношении работы эксперта. Аудитору могут потребоваться дополнительные аудиторские процедуры или аудиторские доказательства от другого эксперта.

При выдаче безоговорочно положительного аудиторского заключения аудитор не должен ссылаться на работу эксперта. Такая ссылка может быть принята за выражение аудитором мнения с оговоркой или за утверждение о разделении ответственности, что изначально не предполагается. Если же в результате работы эксперта аудитор принял решение о выдаче модифицированного аудиторского заключения, что может иметь место, то при разъяснении характера модификации целесообразно сделать ссылку на работу эксперта или описать ее в аудиторском заключении (включая указание на эксперта и степень его участия в аудиторском задании). В некоторых случаях аудитору может потребоваться получить от эксперта разрешение на включение такой ссылки в аудиторское заключение. Если в разрешении будет отказано, а аудитор полагает, что ссылка обязательна, то ему необходимо проконсультироваться у юриста.

Оценка возможностей учета с помощью информационной системы

В рамках аудита информационных систем аудитор должен проверить:

• принципы функционирования компьютерной информационной системы (способы организации, ввода, настройки, обновления данных);
• обеспечение архивирования и хранения данных;
• наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных;
• уровень программного обеспечения и наличие лицензий;
• соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам (бизнес-процессам);
• возможности настройки (обновления) программного обеспечения для гибкого реагирования на изменения законодательства;
• возможности расширения функций имеющихся систем;
• степень информационной безопасности (ограничение несанкционированного доступа);
• общую информационную политику компании и ее планы по развитию системы информационных технологий.

Аспектам планирования аудита в среде компьютерных информационных систем посвящен раздел "Планирование". В нем отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь МСА 400 "Оценка рисков и внутренний контроль". В данном разделе указаны условия, обусловливающие уровень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования информационных систем, а также о доступности данных для использования при аудите.

В соответствии с МСА 400 аудитору следует использовать свое профессиональное суждение для оценки аудиторского риска и разработки аудиторских процедур, способствующих снижению этого риска до приемлемо низкого уровня.

В качестве процедур контроля названы:

• отчеты, проверка и утверждение проведенных сверок;
• проверка арифметической точности записей;
• осуществление контроля над прикладными программами и средой компьютерных информационных систем, например, посредством контроля над изменениями компьютерных программ и доступа к файлам данных;
• ведение и проверка аналитических счетов и оборотных ведомостей;
• утверждение документов и контроль над ними;
• сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
• сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями;
• ограничение прямого физического доступа к активам и записям;
• анализ финансовых результатов и их сравнение с расходами, предусмотренными сметой.

При планировании стадий аудита, на которые могут повлиять информационные системы субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования этих систем, а также о доступности данных для использования при аудите. Прикладная программа считается сложной, если, например:

• объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;
• компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;
• компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;
• обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет их правильности или приемлемости;
• невозможно отследить ответственность пользователя, производившего те или иные изменения в финансовой отчетности.

На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов компьютерных систем.

В данном случае аудитор может рекомендовать проанализировать, существует ли производственная необходимость в неограниченных правах сотрудников, обслуживающих информационную систему, и как организовать процесс управления изменениями и доступом. Он может порекомендовать протоколировать все действия пользователей, обладающих расширенными полномочиями, организовать аудит событий, чтобы была возможность однозначно установить ответственность сотрудника за действия в системе, и установить хронологию внесения изменений.

Оценка влияния информационной системы на аудит в целом

Если информационные системы играют значительную роль, аудитор должен получить представление о них и о возможности их влияния на оценку неотъемлемого риска и риска системы контроля. Согласно разделу "Оценка риска" аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности.

Это обусловлено тем, что неотъемлемые риски системы контроля в информационных системах могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации. Риски могут быть связаны с такими факторами в функционировании компьютерных систем, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты информационных систем, а также контроль над доступом к специализированным обслуживающим программам. Риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке.

Несмотря на то что общая цель и объем аудита в IT-сфере не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом компьютер влияет на аудит.

В разделе "Процедуры аудита" отмечается, что аудитор должен учитывать компьютерные информационные системы при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного количества доказательств аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные на компьютере, либо использовать и то и другое. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса или подтверждения без помощи компьютера.

Отдельного внимания заслуживает ситуация, когда в организации внедряется новая информационная система, это требует значительных средств и должно быть соответствующим образом отражено в отчетности. В таком случае в числе задач службы внутреннего аудита могут быть анализ результатов внедрения информационной системы, оценка эффективности различных этапов внедрения, степень соответствия ожиданиям руководства.

Самым сложным, длительным и трудоемким этапом проверки является сквозное тестирование внедренной учетной системы. Группе аудиторов необходимо не только проверить, насколько работа системы соответствует заданным алгоритмам, полноту и корректность учетных данных, но и оценить уровень программного контроля подтверждения (согласования) документов в системе, определяющего иерархию ответственности и адекватное разграничение полномочий. Кроме того, необходимо определить степень автоматизации учетных процессов, чтобы минимизировать дополнительные трудозатраты, связанные с ручным контролем. В процессе тестирования службой внутреннего аудита оценивается также совершенство системы автоматического контроля некорректных действий в учетной системе (неподтвержденных, фальсифицированных данных, ошибок ручного ввода), что позволяет снизить финансовые риски. В системе должны быть организованы периодические сверки, анализы данных и отчетов, чтобы выявить возможные отклонения.

Вопросам надежности и безопасности системы в ходе проверки также уделяется значительное внимание. Недостатки в организации контроля доступа к системе выявляются посредством специализированных аудиторских процедур - периодического анализа прав пользователей на предмет их избыточности, системного подхода к разделению полномочий с помощью ограничения доступа к бизнес-функциям.

На заключительном этапе проверяются пользовательская документация и процесс управления документацией, неактуальность которой, особенно в случае внедрения новой системы, может привести к снижению эффективности и оперативности работы пользователей, а также затруднит проведение адекватного анализа рисков и снизит уровень качества контроля в процессе управления проектом.

Аудит IT-сферы помимо проверки компьютерных систем включает и аудит локальных сетей, используемых организацией.

Влияние электронной торговли на аудит финансовой отчетности

Использование Интернета для связи коммерческой организации с потребителем, партнерами и правительством приводит к возникновению новых элементов риска, которым подвержена деятельность организации и которые рассматриваются аудитором при планировании и проведении аудита финансовой отчетности. При таком аудите специалистам нужно пользоваться Положением по международной аудиторской практике 1013 "Электронная торговля: влияние на аудит финансовой отчетности".

Уровень знаний и навыков, необходимых для понимания того, как электронная торговля влияет на аудиторскую проверку, зависит от сложности коммерческой деятельности компании. Аудитор рассматривает, обладают ли сотрудники, назначенные на задание, соответствующими знаниями в области интернет-бизнеса и информационных технологий.

Эти знания могут потребоваться, чтобы:

• определить степень влияния на финансовую отчетность:

стратегии и деятельности юридического лица в сфере электронной торговли;

технологии, используемой организацией для электронной коммерции, а также IT-навыков и знаний персонала организации;

рисков, возникающих при использовании организацией электронной коммерции, и методов управления такими рисками;

• определить характер, временные рамки и объем аудиторских процедур, а также оценить аудиторские доказательства;
• рассмотреть степень влияния электронной торговли на способность организации непрерывно функционировать.

Здесь также аудитор может использовать работу эксперта, например, когда необходимо проверить уязвимость системы безопасности организации или возможность проникновения в нее. Если аудитор решил использовать работу эксперта, ему следует получить достаточное и уместное аудиторское доказательство того, что такая работа адекватна целям аудиторской проверки.

В процессе получения информации о бизнесе организации аудитор должен рассмотреть влияние на финансовую отчетность:

• коммерческой деятельности организации и отрасли, в которой она функционирует;
• стратегии электронной торговли организации;
• степени использования электронной торговли;
• внешних мероприятий (использование услуг организаций, например поставщиков прикладных систем и т.д.).

Руководство организации сталкивается со многими рисками, связанными с электронной торговлей, включая:

• потери операционной целостности информационной системы;
• распространяющиеся риски безопасности электронной торговли, включая вирусные атаки и потенциальные потери в случае мошенничества клиентов, служащих и других лиц через неправомочный (неавторизированный) доступ;
• неадекватную учетную политику организации, связанную с капитализацией расходов (например, затраты на развитие веб-сайта), недоразумениями в сложных договорах, переводом иностранных валют, созданием резервов на гарантии или возвраты и с проблемами признания дохода;
• несоблюдение правил налогообложения и других законодательных и нормативных требований, особенно в случаях, когда интернет-сделки проводятся за границу;
• отсутствие гарантии обязательности контрактов, заключенных только электронными средствами;
• слишком большую уверенность в электронной торговле при размещении информации в Интернете;
• сбои и "аварии" в системе и инфраструктуре.

Организация реагирует на бизнес-риски, возникающие в электронной торговле, путем создания инфраструктуры безопасности, связанных с ней средств контроля и разработки соответствующих мер:

• проверки идентичности клиентов и поставщиков;
• получения гарантии целостности сделок;
• получения соглашений на условия сделки;
• получения оплаты и обеспечения средств обслуживания кредита для клиентов;
• установления секретности и защиты информационных протоколов.

Аудитор должен рассмотреть, соответствуют ли целям финансовой отчетности контрольная среда и процедуры контроля, которые организация применяет в деятельности по электронной торговле. Нужно обратить внимание, что электронные операции не оформляются бумажными записями, а электронные записи могут быть легко уничтожены или изменены, причем доказательств изменения или уничтожения не останется. Аудитор рассматривает, является ли безопасность информационной политики организации и средств контроля безопасности соответствующей, позволит ли она предотвратить неправомочные изменения в системе учета и составления отчетности или в системах обеспечения данных учета.

Аудиторское заключение

Аудитор может проверить автоматизированный контроль, например целостность электронного доказательства, электронные печати данных, цифровые подписи. В зависимости от оценки этого контроля он может выполнить дополнительные процедуры, например провести подтверждение операций или остатков на счете с третьими лицами.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков и включает рекомендации по их устранению. Заключение позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Аудиторское заключение представляется в виде "Наблюдение - Риски (возможные последствия) - Рекомендации (желательные и необходимые мероприятия)". По результатам проверки составляется подробное заключение по всем существенным вопросам:

• оценка степени автоматизации и настройки учетных процессов;
• адекватность контрольных процедур;
• анализ однородности и совместимости системных решений;
• анализ рисков, связанных с внедрением новых информационных систем;
• ошибки и несоответствия в автоматизированных системах;
• мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;
• вопросы сохранности информации и восстановления данных;
• оценка качества информационной безопасности (организация и управление ролями и полномочиями в компьютерных информационных системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);
• структура ролей в IT-отделе и степень зависимости безопасности компании от кадров данного отдела, оценка квалификации сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения риска потери ценных кадров, обладающих реальным практическим опытом.

В заключение стоит сказать, что специфические правила аудита компьютерных систем обозначены также в МСА 1001 "Использование среды КИС (компьютерных информационных систем) - автономных компьютеров", МСА 1002 "Использование среды КИС - интерактивных компьютерных систем", МСА 1003 "Использование среды КИС - систем баз данных", МСА 1008 "Оценка рисков и системы внутреннего контроля в системах КИС и связанные с ними вопросы".

О.Г.Попова

Налоговый консультант