- •Аудит информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием
- •Раздел 1. Сокращения и термины 3
- •Раздел 2. Институты информационного контроля и аудита 5
- •Раздел 3. Внедрение независимого информационного аудита 24
- •Раздел 1. Сокращения и термины
- •1. Используемые сокращения
- •2. Основные понятия и определения
- •Раздел 2. Институты информационного контроля и аудита
- •1. Актуальность проблем информационного контроля и аудита в эг
- •2. Объекты информационного контроля и аудита
- •3. Границы мандата аудитора
- •4. Контролируемые требования и критерии для государственных икт-систем
- •5. Система контроля и аудита икт-систем
- •5.1. Внутренний контроль.
- •5.2. Внешний контроль.
- •5.3. Независимый аудит
- •5.4. Единство системы контроля и аудита
- •6. Независимость частного информационного аудита
- •7. Методики информационного аудита
- •7.1. Планирование аудита.
- •7.2. Проведение обследования
- •7.3. Обработка и оценка собранной информации.
- •7.4. Подготовка и обсуждение выводов аудита
- •7.5. Подготовка и предоставление аудиторского заключения и рекомендаций
- •Раздел 3. Внедрение независимого информационного аудита
- •1. Подходы к созданию института независимого аудита
- •2. «Легализация» информационного аудита
- •3. Модели регулирования и саморегулирования аудиторов и аудиторских организаций
- •3.1. Свобода доступа на рынок
- •3.2. Регулирование допуска к информации с ограниченным кругом доступа
- •3.3. Стандартизация информационного аудита
- •3.4. Страхование ответственности
- •3.5. Конкурсная закупка услуг для нужд государства
- •3.6. Свод мер регулирования
- •3.6. Саморегулирование
- •4. Модель применения информационного аудита
7.2. Проведение обследования
Проведение обследований и сбор информации осуществляются в соответствии с планом работ. При проведении обследования проводятся, в числе прочих мероприятий:
Заполнение опросных листов сотрудниками и руководителями аудируемого лица.
Проведение интервью с сотрудниками и руководителями аудируемого лица.
Получение документов у аудируемого лица.
Ознакомление с данными ИКТ-систем аудируемого лица.
Проведение наблюдений за работой сотрудников аудируемого лица.
Проведение тестов ИКТ-систем.
Обязательным требованием при выполнении намеченных планом мероприятий является их полное документирование. Аудиторская организация должна иметь систему документального оформления и учёта выполняемых мероприятий, охватывающую весь вовлечённый в выполнение аудита персонал. Рабочие документы аудита должны быть полными и оформленными в соответствии с внутренними правилами аудиторской организации.
Документы аудита должны содержать информацию по основным вопросам проверки, записи о выполненных процедурах, аудиторские доказательства. В числе прочего, документально оформлен и обоснован, должен быть выбор всех принимаемых в ходе проверки решений. Документы аудиторской проверки свидетельствуют о качестве проверки, на основании их анализа и оценки делаются выводы и составляется аудиторское заключение.
Каждый документ должен быть чётко идентифицирован как либо полученный от аудируемого лица, либо составленный сотрудниками аудиторской организации. Документ должен иметь все необходимые реквизиты, порядковый номер по нумерации аудитора.
Полученные в ходе обследования у аудируемого лица документы хранятся в досье аудируемого лица. Отчёты аудиторов о проведённых мероприятиях оформляются в письменном виде и также хранятся в досье аудируемого лица.
Документация аудита, кроме аудиторского заключения, является конфиденциальной Аудиторская организация и её сотрудники обязаны обеспечить надлежащее хранение информации аудируемого лица, содержащей конфиденциальную информацию аудируемого лица или третьих лиц.
7.3. Обработка и оценка собранной информации.
Обработка и оценка полученной аудитором информации проводится сотрудниками аудитора для выявления:
соответствия ИКТ-системы в целом целям её создания и эксплуатации;
соответствия практики эксплуатации ИКТ-системы применимым требованиям нормативных правовых актов, внутренних регламентов и договоров аудируемого лица;
соответствия информации, учитываемой в ИКТ-системе аудируемого лица, фактическим данным и обстоятельствам, учёт которых является целью эксплуатации ИКТ-системы, включая соответствие входящих и исходящих документов, и информационных обменов с иными ИКТ-системами;
рисков аудируемого лица, связанных с эксплуатацией ИКТ-системы.
В процессе оценки собранной информации аудитор составляет своё мнение о соответствии ИКТ-систем и практики их использования критериям и требованиям, определённым в соответствии с условиями мандата аудитора. Выводы и мнения аудитора должны быть подкреплены аудиторскими доказательствами, основанными на информации, полученной от аудируемого лица.