- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Национальный исследовательский университет «МИЭТ»
Отчёт по практике в компании PricewaterhouseCoopers на тему:
«Аудит и оценка системы внутренних контролей системы «Информационные ресурсы реализации обучения»
Работу выполнила группа студентов:
Берёза Евгений, менеджер группы Агронская Анастасия Лобанова Юлия Локтева Татьяна Никитин Дмитрий
Руководители практики:
Соколова Натэлла Юрьевна, МИЭТ
Холод Илона, PWC Колотилин Константин, PWC
г. Москва 2012 г.
Оглавление
Цели и задачи практики 4
План-график работ и анализ отклонений 5
Список сокращений 14
Объект исследования 15
Описание общего понимания работы системы 18
Анализ и оценка системы внутреннего контроля в основных процессах системы 21
Процесс занесения информации в ИРРО 21
Описание процесса 21
Матрица рисков 24
Матрица контролей и результаты тестирования эффективности контролей 29
Замечания и рекомендации 35
Процесс поддержания информации ИРРО в актуальном состоянии 37
Описание процесса 37
Матрица рисков 44
Матрица контролей и результаты тестирования эффективности контролей 46
Замечания и рекомендации 48
Анализ и оценка общих компьютерных контролей системы 49
Процесс управление доступа к системе и данным 49
Описание процесса 49
Матрица рисков 52
Матрица контролей и результаты тестирования эффективности контролей 54
Замечания и рекомендации 57
Процесс и концепция разделения прав и полномочий в системе 58
Текстовое описание процесса 58
Текстовое описание контролей процесса 58
Матрица рисков 59
Матрица контролей и результаты тестирования эффективности контролей 60
Замечания и рекомендации 62
Процессы доработки системы, внесения изменений 63
Матрица рисков 65
Матрица контролей и результаты тестирования эффективности контролей 66
Замечания и рекомендации 67
Таблица разделения прав и полномочий системы 68
Приложение 69
Интервью с пользователями, работающими в системе ИРРО 69
Цели и задачи практики
Цели и задачи практики
План-график работ и анализ отклонений
№ |
Этап |
Задача |
Документы |
Сроки |
Исполнитель |
1 |
Получение информации об объекте исследования |
||||
1.1 |
|
Определение целей и задач системы ИРРО. Выделение категорий пользователей системы |
|
17.02 |
Агронская А. |
1.2 |
|
Анализ документации по системе |
|
17.02 |
Агронская А. |
1.3 |
|
Проведение интервью с людьми, работающими с системой |
|
17.02 |
Агронская А. |
1.4 |
|
Наблюдение за работой пользователей в системе |
|
17.02 |
Агронская А. |
1.5 |
|
Документирование полученных результатов |
Текстовое описание системы в формате Word |
17.02 |
Агронская А. |
2 |
Анализ и оценка системы внутреннего контроля в основных процессах системы |
||||
2.1 |
|
Процесс занесения информации в ИРРО |
|
17.02-22.02 |
Лобанова Ю. |
2.1.1 |
|
Анализ существующей документации по процессу |
|
17.02 |
Лобанова Ю. |
2.1.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02-20.02 |
Лобанова Ю. |
2.1.3 |
|
Наблюдение за работой процесса |
|
20.02 |
Лобанова Ю. |
2.1.4 |
|
Описание процесса |
Диаграммы и текстовое описание процесса в формате Visio |
20.02 |
Лобанова Ю. |
2.1.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
21.02 |
Лобанова Ю. |
2.1.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Лобанова Ю. |
2.1.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
22.02 |
Лобанова Ю. |
2.1.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Лобанова Ю. |
2.1.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы формате Word |
22.02 |
Лобанова Ю. |
2.2 |
|
Процесс поддержания информации ИРРО в актуальном состоянии |
|
20.02-23.02 |
Агронская А. |
2.2.1 |
|
Анализ существующей документации по процессу |
|
20.02 |
Агронская А. |
2.2.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
20.02-21.02 |
Агронская А. |
2.2.3 |
|
Наблюдение за работой процесса |
|
21.02 |
Агронская А. |
2.2.4 |
|
Описание процесса |
Диаграммы и текстовое описание процесса в формате Visio |
21.02 |
Агронская А. |
2.2.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word Агронская А. |
22.02 |
Агронская А. |
2.2.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
22.02 |
Агронская А. |
2.2.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
23.02 |
Агронская А. |
2.2.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
23.02 |
Агронская А. |
2.2.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
23.02 |
Агронская А. |
3 |
Анализ и оценка общих компьютерных контролей по областям |
||||
3.1 |
|
Процесс управление доступа к системе и данным |
|
17.02-22.02 |
Локтева Т. |
3.1.1 |
|
Анализ существующей документации по процессу |
|
17.02 |
Локтева Т. |
3.1.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02-20.02 |
Локтева Т. |
3.1.3 |
|
Наблюдение за работой процесса |
|
20.02 |
Локтева Т. |
3.1.4 |
|
Описание процесса |
Текстовое описание процесса в формате Word |
20.02 |
Локтева Т. |
3.1.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
21.02 |
Локтева Т. |
3.1.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Локтева Т. |
3.1.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
22.02 |
Локтева Т. |
3.1.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Локтева Т. |
3.1.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
22.02 |
Локтева Т. |
3.2 |
|
Процесс и концепция разделения прав и полномочий в системе |
|
17.02-22.02 |
Никитин Д. |
3.2.1 |
|
Анализ существующей документации по процессу |
|
17.02 |
Никитин Д. |
3.2.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02-20.02 |
Никитин Д. |
3.2.3 |
|
Наблюдение за работой процесса |
|
20.02 |
Никитин Д. |
3.2.4 |
|
Описание процесса |
Текстовое описание процесса. Таблица разделения полномочий и прав доступа в системе. Все документы в формате Word. |
20.02 |
Никитин Д. |
3.2.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
21.02 |
Никитин Д. |
3.2.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Никитин Д. |
3.2.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
22.02 |
Никитин Д. |
3.2.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Никитин Д. |
3.2.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
22.02 |
Никитин Д. |
3.3 |
|
Процесс эксплуатации и текущей поддержки системы |
|
17.02-22.02 |
Берёза Е. |
3.3.1 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02 |
Берёза Е. |
3.3.2 |
|
Наблюдение за работой процесса |
|
17.02-20.02 |
Берёза Е. |
3.3.3 |
|
Описание процесса |
Текстовое описание процесса в формате Word |
20.02 |
Берёза Е. |
3.3.4 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
20.02 |
Берёза Е. |
3.3.5 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Берёза Е. |
3.3.6 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
21.02 |
Берёза Е. |
3.3.7 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Берёза Е. |
3.3.8 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
22.02 |
Берёза Е. |
3.4 |
|
Доработка системы, внесение изменений |
|
23.02-22.02 |
Локтева Т. |
3.4.1 |
|
Анализ регламентов и положений об изменениях в системе |
|
23.02-24.02 |
Локтева Т. |
3.4.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
24.02 |
Локтева Т. |
3.4.3 |
|
Описание процесса |
Текстовое описание процесса в формате Word |
24.02 |
Локтева Т. |
3.4.4 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
24.02 |
Локтева Т. |
3.4.5 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
24.02 |
Локтева Т. |
3.4.6 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
24.02 |
Локтева Т. |
3.4.7 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
24.02 |
Локтева Т. |
3.4.8 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
24.02 |
Локтева Т. |
4 |
Проверка данных в системе на наличие ошибок |
||||
4.1 |
|
Дублирование данных (дублирование записей, полей и т.д.) |
Тексты SQL-запросов. Описание результатов формате Word |
23.02 |
Никитин Д. |
4.2 |
|
Ошибка в связях между записями |
Тексты SQL-запросов. Описание результатов формате Word |
23.02 |
Берёза Е. |
4.3 |
|
Полнота данных |
Тексты SQL-запросов. Описание результатов формате Word |
24.02 |
Агронская А. |
4.4 |
|
Достоверность данных |
Тексты SQL-запросов. Описание результатов формате Word |
23.02-24.02 |
Лобанова Ю. |
5.1 |
Проверка правильности формирования отчетных форм |
Проверка правильности формирования отчёта (статистики) по направлениям подготовки |
Описание результатов формате Word |
23.02 |
Никитин Д. |
5.2 |
|
Проверка правильности формирования отчёта (статистики) по структурным компонентам объектов системы |
Описание результатов формате Word |
24.02 |
Никитин Д. |
6 |
Подведение промежуточных итогов аудита и доработка предыдущих этапов работ. Промежуточная презентация результатов |
||||
6.1 |
|
Подготовка промежуточного отчёта по практике |
Промежуточный отчёт с результатами практики в формате Word |
24.02-27.02 |
Берёза Е. |
6.2 |
|
Доработка своих предыдущих этапов |
Отредактированные результаты в форматах Word, Visio |
27.02-29.02 |
|
6.3 |
|
Подготовка промежуточной презентации по практике |
Промежуточная презентация в формате PowerPoint |
28.02-29.02 |
Никитин Д. |
6.4 |
|
Промежуточная презентация результатов практики |
|
1.03 |
Агронская А. Лобанова Ю. Берёза Е. Локтева Т. Никитин Д. |
7 |
Подведение итогов аудита информационной системы и всей практики в целом |
||||
7.1 |
|
Подготовка итогового отчёта по практике |
Полный отчёт с результатами практики в формате Word |
2.03 |
Берёза Е. |
7.2 |
|
Подготовка итоговой презентации по практике |
Полная презентация в формате PowerPoint |
2.03 |
Никитин Д. |
7.3 |
|
Сдача отчёта и презентации |
Полный отчёт с результатами практики в формате Word и полная презентация в формате PowerPoint |
3.03 |
Берёза Е. |
8 |
Итоговая презентация результатов практики |
||||
8.1 |
|
Итоговая презентация результатов практики |
|
5.03 |
Агронская А. Лобанова Ю. Берёза Е. Локтева Т. Никитин Д. |
Примечания.
Проведение интервью во всех задачах состоит из следующих подзадач:
Подготовка вопросов к интервью.
Предварительная отправка вопросов интервьюируемому лицу.
Проведение интервью.
Документальное фиксирование результатов интервью.
Отправка результатов интервью для проверки интервьюированному лицу.
Редактирование результатов интервью.
Анализ отклонений