Аудит ИС направлен не столько на проверку достоверности бухгалтерской отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности ИС, анализ и прогнозирование ее состояния, управления рисками в ИС.
Далее рассматривается простейшая методика аудита ИС, доступная для пользователей не обладающих специальными знаниями.Для более детального аудита рекомендуется привлекать квалифицированных специалистов-аудиторов ИС. Вопросам аудита ИС посвящены несколько зарубежных стандартов и специальный российский стандарт «Аудит в условиях компьютерной обработки данных» Цели аудита ИС:
• Оценка рисков в ИС
• Содействие предотвращению и смягчению последствий сбоев в ИС.
• Контроль за деятельностью ИС.
• Правильная организация управления ИС.
Технология аудита ИС.
При проведении аудита ИС внимание проверяющих обычно направлено на три основных блока:
• Техническое обеспечение ИС
• Программное обеспечение ИС
• Технология организации компьютерной обработки данных
При проверке технического обеспечения (ТО) отслеживают:
|
|
1. способность ТО функционировать без сбоев и остановок
2. надежность хранения данных на компьютерных носителях, практику резервного копирования
3. ограничение физического доступа к ТО
4. возможность наращивания и обновления ТО
5. достаточность мощности ТО для осуществления обработки данных
6. соблюдение принципов экономической эффективности ТО (соотношение затрат на ТО и экономического эффекта получаемого от его использования).
При контроле программного обеспечения (ПО) проверке подлежат:
1. лицензированность ПО
2. разграничение прав доступа к ПО
3. порядок обновления ПО
4. протоколирование действий пользователя
5. надежность ПО, наличие антивирусной защиты
6. достаточность функциональных возможностей ПО, удобство пользовательского интерфейса
7. корректность настроек ПО
8. корректность ведения справочников
9.корректность алгоритмов и процедур используемых в ПО.
Направления проверки технологий организации компьютерной обработки данных:
1. наличие необходимых внутренних документов ИС («Стратегия развития ИС», «Техническая политика», «Архитектура ИС», «Бюджет ИС», «Политика информационной безопасности», «Соглашение о взаимодействии бизнес-подразделения (бухгалтерии) и обслуживающего персонала», протоколы заседаний ИС-комитета, планы-графики развития ИС, журнал регистрации обращений пользователя, должностные инструкции, документы на эксплуатацию ТО, инструкции по работе в программах, лицензионная документация на ПО)
2. оценка системы поддержки пользователей ИС
3. существование плана развития ИС и его реализация
4. существование политики информационной безопасности и ее исполнение.
5. соответствие деятельности персонала с планами развития ИС и политикой информационной безопасности
6. работа особо критичных участков
7. регламентация деятельности персонала в критических ситуациях.