- •Аудит информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием
- •Раздел 1. Сокращения и термины 3
- •Раздел 2. Институты информационного контроля и аудита 5
- •Раздел 3. Внедрение независимого информационного аудита 24
- •Раздел 1. Сокращения и термины
- •1. Используемые сокращения
- •2. Основные понятия и определения
- •Раздел 2. Институты информационного контроля и аудита
- •1. Актуальность проблем информационного контроля и аудита в эг
- •2. Объекты информационного контроля и аудита
- •3. Границы мандата аудитора
- •4. Контролируемые требования и критерии для государственных икт-систем
- •5. Система контроля и аудита икт-систем
- •5.1. Внутренний контроль.
- •5.2. Внешний контроль.
- •5.3. Независимый аудит
- •5.4. Единство системы контроля и аудита
- •6. Независимость частного информационного аудита
- •7. Методики информационного аудита
- •7.1. Планирование аудита.
- •7.2. Проведение обследования
- •7.3. Обработка и оценка собранной информации.
- •7.4. Подготовка и обсуждение выводов аудита
- •7.5. Подготовка и предоставление аудиторского заключения и рекомендаций
- •Раздел 3. Внедрение независимого информационного аудита
- •1. Подходы к созданию института независимого аудита
- •2. «Легализация» информационного аудита
- •3. Модели регулирования и саморегулирования аудиторов и аудиторских организаций
- •3.1. Свобода доступа на рынок
- •3.2. Регулирование допуска к информации с ограниченным кругом доступа
- •3.3. Стандартизация информационного аудита
- •3.4. Страхование ответственности
- •3.5. Конкурсная закупка услуг для нужд государства
- •3.6. Свод мер регулирования
- •3.6. Саморегулирование
- •4. Модель применения информационного аудита
7.4. Подготовка и обсуждение выводов аудита
7.4.1. Подготовка предварительных выводов
Предварительные выводы аудитора оформляются в виде проекта аудиторского заключения, комментариев аудитора, пояснительной записки. Передаваемые документы могут сопровождаться выдержками из документов аудита, содержащими аудиторские доказательства, использованные аудитором.
Все предварительные документы должны быть отмечены как таковые, содержать чёткое указание на их статус (например, фразы «предварительные выводы для ознакомления» и «не являются выраженным мнением аудитора о ….»).
Одновременно с подготовкой предварительных выводов могут быть подготовлены рекомендации аудитора.
Если аудиторская проверка затрагивала взаимодействующие ИКТ-системы различных организаций, предварительные выводы и рекомендации должны быть подготовлены по отдельности для каждой организации.
7.4.2. Обсуждение с представителями аудируемого лица
Предварительные выводы аудитора передаются для ознакомления и обсуждения руководству аудируемого лица. Передача предварительных выводов заказчику аудита (если он не совпадает с аудируемым лицо) остаётся на усмотрение аудитора. В случае принятия аудитором решения о передаче предварительных выводов заказчику, руководство аудируемого лица должно быть об этом осведомлено.
При проведении аудиторской проверки взаимодействующих ИКТ-систем различных организаций, каждой организации передаются только предварительные выводы и рекомендации, имеющие непосредственное отношение к её функционированию.
Аудитор должен выяснить мнение руководства аудируемого лица о предварительных выводах аудита. Аудитор самостоятельно принимает решение о внесении изменений в предварительные выводы, основываясь на собственной оценке разъяснений и сравнении их с выбранными аудиторскими доказательствами. Аудитор не обязан включать разъяснения руководства аудируемого лица в материалы, сопровождающие окончательное аудиторское заключение.
Аудируемое лицо может предпринять немедленные действия по изменению тех или иных аспектов эксплуатации ИКТ-систем на основании предварительных выводов аудитора или на основании рекомендаций аудитора, переданных вместе с предварительными выводами. Принятие рекомендации аудитора может быть отражено аудитором в окончательном аудиторском заключении, но не является основанием для изменения мнений и оценок аудитора в части тех выявленных недостатков, на исправление которых были направлены принятые меры.
7.5. Подготовка и предоставление аудиторского заключения и рекомендаций
После получения мнения руководства аудируемого лица по предварительному аудиторскому заключению и исследования дополнительной информации (если аудитор сочтёт такое исследование целесообразным), аудитор готовит окончательное заключение. Заключение аудитора передаётся заказчику аудита и руководству аудируемого лица.
При проведении аудиторской проверки взаимодействующих ИКТ-систем различных организаций, в зависимости от требований заказчика аудита, может быть подготовлено как отдельное заключение для каждой организации, так и единое заключение для всех аудируемых организаций.