- •Курсовая работа
- •Глава 1. Контроль качества аудита. Ошибки и риск в аудите 6
- •Глава 2. Этапность работ по проведению аудита информационных систем предприятия 19
- •Введение
- •Инициирование процедуры аудита
- •Сбор информации аудита
- •Глава 1. Контроль качества аудита. Ошибки и риск в аудите
- •1.1 Определение и задачи аудита
- •1.2 Основные цели аудита информационных систем
- •1.3 Isaca (Ассоциация аудита и контроля информационных систем)
- •1.4 CoBiT (Контрольные Объекты Информационной Технологии)
- •Глава 2. Этапность работ по проведению аудита информационных систем предприятия
- •2.1 Основные этапы аудита информационных систем предприятия
- •2.2 Инициирование процедуры аудита
- •2.3 Сбор информации аудита
- •2.4 Анализ данных аудита
- •2.5 Оценка соответствия требованиям стандарта
- •2.6 Выработка рекомендаций
- •2.7 Подготовка отчетных документов
- •Заключение
- •Библиографический список
Глава 2. Этапность работ по проведению аудита информационных систем предприятия
2.1 Основные этапы аудита информационных систем предприятия
Работы по аудиту ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:
инициирование процедуры аудита;
сбор информации аудита;
анализ данных аудита;
выработка рекомендаций;
подготовка аудиторского отчета;
инициирование процедуры аудита.
Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.[18]
2.2 Инициирование процедуры аудита
На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.
Границы проведения обследования определяются в следующих терминах:
Список обследуемых физических, программных и информационных ресурсов;
Площадки (помещения), попадающие в границы обследования;
Основные виды угроз безопасности, рассматриваемые при проведении аудита;
Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).
План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.[13]
2.3 Сбор информации аудита
Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.
Компетентные выводы относительно положения дел в компании могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.
Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:
Схема организационной структуры пользователей;
Схема организационной структуры обслуживающих подразделений.
На следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:
Какие услуги и каким образом предоставляются конечным пользователям?
Какие основные виды приложений, функционирует в ИС?
Количество и виды пользователей, использующих эти приложения?
Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):
Функциональные схемы;
Описание автоматизированных функций;
Описание основных технических решений;
Другая проектная и рабочая документация на информационную систему.
Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:
Из каких компонентов (подсистем) состоит ИС?
Функциональность отдельных компонент?
Где проходят границы системы?
Какие точки входа имеются?
Как ИС взаимодействует с другими системами?
Какие каналы связи используются для взаимодействия с другими ИС?
Какие каналы связи используются для взаимодействия между компонентами системы?
По каким протоколам осуществляется взаимодействие?
Какие программно-технические платформы используются при построении системы?
На этом этапе аудитору необходимо запастись следующей документацией:
Структурная схема ИС;
Схема информационных потоков;
Описание структуры комплекса технических средств информационной системы;
Описание структуры программного обеспечения;
Описание структуры информационного обеспечения;
Размещение компонентов информационной системы.
Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.