- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Национальный исследовательский университет «МИЭТ»
Отчёт по практике в компании PricewaterhouseCoopers на тему:
«Аудит и оценка системы внутренних контролей системы «Информационные ресурсы реализации обучения»
Работу выполнила группа студентов:
Берёза Евгений, менеджер группы Агронская Анастасия Лобанова Юлия Локтева Татьяна Никитин Дмитрий
Руководители практики:
Соколова Натэлла Юрьевна, МИЭТ
Холод Илона, PWC Колотилин Константин, PWC
г. Москва 2012 г.
Оглавление
Цели и задачи практики 5
План-график работ и анализ отклонений 6
План-график работ 6
Анализ отклонений выполнения плана работ 15
Список сокращений 16
Объект исследования 17
Описание общего понимания работы системы 20
Анализ и оценка системы внутреннего контроля в основных процессах системы 23
Процесс занесения информации в ИРРО 23
Описание процесса 23
Матрица целей и рисков 25
Матрица контролей и результаты тестирования эффективности контролей 29
Замечания и рекомендации 37
Процесс поддержания информации ИРРО в актуальном состоянии 40
Описание процесса 40
Матрица целей и рисков 49
Матрица контролей и результаты тестирования эффективности контролей 51
Замечания и рекомендации 53
Анализ и оценка общих компьютерных контролей системы 54
Процесс управление доступа к системе и данным 54
Описание процесса 54
Матрица целей и рисков 58
Матрица контролей и результаты тестирования эффективности контролей 60
Замечания и рекомендации 64
Процесс и концепция разделения прав и полномочий в системе 65
Текстовое описание процесса 65
Текстовое описание контролей процесса 66
Матрица целей и рисков 67
Матрица контролей и результаты тестирования эффективности контролей 68
Замечания и рекомендации 69
Таблица разделения прав и полномочий системы и её анализ 70
Процесс эксплуатации и текущей поддержки системы 72
Описание процесса 72
Матрица целей и рисков 74
Замечания и рекомендации 76
Процессы доработки системы, внесения изменений 77
Матрица целей и рисков 80
Матрица контролей и результаты тестирования эффективности контролей 81
Замечания и рекомендации 83
Проверка данных системы на наличие ошибок 84
Дублирование записей и полей таблиц БД 84
Описание проделанной работы 84
Результаты 85
Рекомендации 85
Ошибка в связях между записями 87
Описание проделанной работы 87
Результаты 87
Рекомендации 88
Полнота данных 89
Описание проделанной работы 89
Результаты 89
Рекомендации 89
Достоверность данных 90
Описание проделанной работы 90
Результаты 90
Рекомендации 91
Проверка правильности формирования отчётных форм 92
Проверка правильности формирования отчётных форм по структурным компонентам системы 92
Описание проделанной работы 92
Выводы 94
Рекомендации 94
Проверка правильности формирования отчётных форм по направлениям подготовки 95
Описание проделанной работы 95
Выводы 97
Приложение 98
Интервью с пользователями, работающими в системе ИРРО 98
Резюме участников команды 107
Цели и задачи практики
Цель: аудит информационной системы (ИС) «Информационные ресурсы реализации обучения (ИРРО)».
Задачи.
Получение основной информации об ИС ИРРО.
Описание основных процессов ИС.
Выделение рисков данных процессов.
Описание и тестирование контролей данных процессов.
Замечания и рекомендации по процессам.
Проверка данных в системе на наличие ошибок.
Общие выводы и рекомендации по ИС ИРРО.
План-график работ и анализ отклонений План-график работ
№ |
Этап |
Задача |
Документы |
Сроки |
Исполнитель |
1 |
Получение информации об объекте исследования |
||||
1.1 |
|
Определение целей и задач системы ИРРО. Выделение категорий пользователей системы |
|
17.02 |
Агронская А. |
1.2 |
|
Анализ документации по системе |
|
17.02 |
Агронская А. |
1.3 |
|
Проведение интервью с людьми, работающими с системой |
|
17.02 |
Агронская А. |
1.4 |
|
Наблюдение за работой пользователей в системе |
|
17.02 |
Агронская А. |
1.5 |
|
Документирование полученных результатов |
Текстовое описание системы в формате Word |
17.02 |
Агронская А. |
2 |
Анализ и оценка системы внутреннего контроля в основных процессах системы |
||||
2.1 |
|
Процесс занесения информации в ИРРО |
|
17.02-22.02 |
Лобанова Ю. |
2.1.1 |
|
Анализ существующей документации по процессу |
|
17.02 |
Лобанова Ю. |
2.1.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02-20.02 |
Лобанова Ю. |
2.1.3 |
|
Наблюдение за работой процесса |
|
20.02 |
Лобанова Ю. |
2.1.4 |
|
Описание процесса |
Диаграммы и текстовое описание процесса в формате Visio |
20.02 |
Лобанова Ю. |
2.1.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
21.02 |
Лобанова Ю. |
2.1.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Лобанова Ю. |
2.1.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
22.02 |
Лобанова Ю. |
2.1.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Лобанова Ю. |
2.1.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы формате Word |
22.02 |
Лобанова Ю. |
2.2 |
|
Процесс поддержания информации ИРРО в актуальном состоянии |
|
20.02-23.02 |
Агронская А. |
2.2.1 |
|
Анализ существующей документации по процессу |
|
20.02 |
Агронская А. |
2.2.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
20.02-21.02 |
Агронская А. |
2.2.3 |
|
Наблюдение за работой процесса |
|
21.02 |
Агронская А. |
2.2.4 |
|
Описание процесса |
Диаграммы и текстовое описание процесса в формате Visio |
21.02 |
Агронская А. |
2.2.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word Агронская А. |
22.02 |
Агронская А. |
2.2.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
22.02 |
Агронская А. |
2.2.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
23.02 |
Агронская А. |
2.2.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
23.02 |
Агронская А. |
2.2.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
23.02 |
Агронская А. |
3 |
Анализ и оценка общих компьютерных контролей по областям |
||||
3.1 |
|
Процесс управление доступа к системе и данным |
|
17.02-22.02 |
Локтева Т. |
3.1.1 |
|
Анализ существующей документации по процессу |
|
17.02 |
Локтева Т. |
3.1.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02-20.02 |
Локтева Т. |
3.1.3 |
|
Наблюдение за работой процесса |
|
20.02 |
Локтева Т. |
3.1.4 |
|
Описание процесса |
Текстовое описание процесса в формате Word |
20.02 |
Локтева Т. |
3.1.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
21.02 |
Локтева Т. |
3.1.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Локтева Т. |
3.1.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
22.02 |
Локтева Т. |
3.1.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Локтева Т. |
3.1.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
22.02 |
Локтева Т. |
3.2 |
|
Процесс и концепция разделения прав и полномочий в системе |
|
17.02-22.02 |
Никитин Д. |
3.2.1 |
|
Анализ существующей документации по процессу |
|
17.02 |
Никитин Д. |
3.2.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02-20.02 |
Никитин Д. |
3.2.3 |
|
Наблюдение за работой процесса |
|
20.02 |
Никитин Д. |
3.2.4 |
|
Описание процесса |
Текстовое описание процесса. Таблица разделения полномочий и прав доступа в системе. Все документы в формате Word. |
20.02 |
Никитин Д. |
3.2.5 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
21.02 |
Никитин Д. |
3.2.6 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Никитин Д. |
3.2.7 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
22.02 |
Никитин Д. |
3.2.8 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Никитин Д. |
3.2.9 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
22.02 |
Никитин Д. |
3.3 |
|
Процесс эксплуатации и текущей поддержки системы |
|
17.02-22.02 |
Берёза Е. |
3.3.1 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
17.02 |
Берёза Е. |
3.3.2 |
|
Наблюдение за работой процесса |
|
17.02-20.02 |
Берёза Е. |
3.3.3 |
|
Описание процесса |
Текстовое описание процесса в формате Word |
20.02 |
Берёза Е. |
3.3.4 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
20.02 |
Берёза Е. |
3.3.5 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
21.02 |
Берёза Е. |
3.3.6 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
21.02 |
Берёза Е. |
3.3.7 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
22.02 |
Берёза Е. |
3.3.8 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
22.02 |
Берёза Е. |
3.4 |
|
Доработка системы, внесение изменений |
|
23.02-22.02 |
Локтева Т. |
3.4.1 |
|
Анализ регламентов и положений об изменениях в системе |
|
23.02-24.02 |
Локтева Т. |
3.4.2 |
|
Проведение интервью с людьми, участвующими в данном процессе |
Ответы на вопросы интервью в формате Word |
24.02 |
Локтева Т. |
3.4.3 |
|
Описание процесса |
Текстовое описание процесса в формате Word |
24.02 |
Локтева Т. |
3.4.4 |
|
Выделение основных рисков процесса |
Матрица рисков в формате Word |
24.02 |
Локтева Т. |
3.4.5 |
|
Описание контролей процесса |
Текстовое описание в формате Word |
24.02 |
Локтева Т. |
3.4.6 |
|
Тестирование эффективности контролей процесса |
Матрица контролей в формате Word |
24.02 |
Локтева Т. |
3.4.7 |
|
Выявление отсутствующих, либо неэффективных контролей |
Таблица отсутствующих контролей с их описанием в формате Word |
24.02 |
Локтева Т. |
3.4.8 |
|
Подготовка замечаний и рекомендаций по системе контролей |
Замечания и рекомендации в виде таблицы в формате Word |
24.02 |
Локтева Т. |
4 |
Проверка данных в системе на наличие ошибок |
||||
4.1 |
|
Дублирование данных (дублирование записей, полей и т.д.) |
Тексты SQL-запросов. Описание результатов формате Word |
23.02 |
Никитин Д. |
4.2 |
|
Ошибка в связях между записями |
Тексты SQL-запросов. Описание результатов формате Word |
23.02 |
Берёза Е. |
4.3 |
|
Полнота данных |
Тексты SQL-запросов. Описание результатов формате Word |
24.02 |
Агронская А. |
4.4 |
|
Достоверность данных |
Тексты SQL-запросов. Описание результатов формате Word |
23.02-24.02 |
Лобанова Ю. |
5.1 |
Проверка правильности формирования отчетных форм |
Проверка правильности формирования отчёта (статистики) по направлениям подготовки |
Описание результатов формате Word |
23.02 |
Никитин Д. |
5.2 |
|
Проверка правильности формирования отчёта (статистики) по структурным компонентам объектов системы |
Описание результатов формате Word |
24.02 |
Никитин Д. |
6 |
Подведение промежуточных итогов аудита и доработка предыдущих этапов работ. Промежуточная презентация результатов |
||||
6.1 |
|
Подготовка промежуточного отчёта по практике |
Промежуточный отчёт с результатами практики в формате Word |
24.02-27.02 |
Берёза Е. |
6.2 |
|
Доработка своих предыдущих этапов |
Отредактированные результаты в форматах Word, Visio |
27.02-29.02 |
|
6.3 |
|
Подготовка промежуточной презентации по практике |
Промежуточная презентация в формате PowerPoint |
28.02-29.02 |
Никитин Д. |
6.4 |
|
Промежуточная презентация результатов практики |
|
1.03 |
Агронская А. Лобанова Ю. Берёза Е. Локтева Т. Никитин Д. |
7 |
Подведение итогов аудита информационной системы и всей практики в целом |
||||
7.1 |
|
Подготовка итогового отчёта по практике |
Полный отчёт с результатами практики в формате Word |
2.03 |
Берёза Е. |
7.2 |
|
Подготовка итоговой презентации по практике |
Полная презентация в формате PowerPoint |
2.03 |
Никитин Д. |
7.3 |
|
Сдача отчёта и презентации |
Полный отчёт с результатами практики в формате Word и полная презентация в формате PowerPoint |
3.03 |
Берёза Е. |
8 |
Итоговая презентация результатов практики |
||||
8.1 |
|
Итоговая презентация результатов практики |
|
5.03 |
Агронская А. Лобанова Ю. Берёза Е. Локтева Т. Никитин Д. |
Примечания.
Проведение интервью во всех задачах состоит из следующих подзадач:
Подготовка вопросов к интервью.
Предварительная отправка вопросов интервьюируемому лицу.
Проведение интервью.
Документальное фиксирование результатов интервью.
Отправка результатов интервью для проверки интервьюированному лицу.
Редактирование результатов интервью.