2015-03-22
875
Осуществление любых видов информационного контроля должно основываться на определённых методиках, позволяющих добиваться качественных и сравнимых результатов с наименьшими. издержками. Наиболее подробно методики контроля разработаны для информационного аудита, в связи с необходимостью формализации взаимодействия независимых организаций в процессе проведения аудита. При осуществлении внутреннего и внешнего контроля методы аудиторов могут быть использованы с большей или меньшей степенью строгости.
Подготовка и проведение информационного аудита осуществляются в соответствии с методиками, составляющими часть принятых в отрасли практик ведения бизнеса.
7.1. Планирование аудита.
Планирование аудита является обязательным этапом, на котором аудиторы должны организовать свою деятельность так, чтобы обеспечить достижение целей аудита с необходимым качеством, в оговоренные сроки, в рамках бюджета, и с использованием наиболее эффективных и действенных процедур. Планирование аудита учитывает цели аудита, обязанности и ответственность аудиторской организации, установленные её договорами и применимым законодательством.
|
|
|
При проведении аудита ИКТ-систем, поддерживающих процессы государственного управления, на этапе планирования особенно важно определить необходимость аудита межведомственных взаимодействий, осуществляемых с использованием ИКТ-систем. Если проверяемые системы используются несколькими органами государственной власти и управления, выполняющими с их помощью взаимосвязанные функции, аудитор должен обеспечить полноту сбора данных, и учитывать необходимость сбора и анализа данных разных ведомств на всех этапах планирования и проведения аудита.
Также необходимо обратить внимание на планирование работы с лицами, выступающими внешними подрядчиками аудируемого лица и отвечающими за эксплуатацию ИКТ-системы или её отдельных компонент.
Подготовленный аудитором план проверки утверждается директором аудиторской организации и руководителем аудируемого лица (или, при необходимости, всех лиц, предоставляющих данные аудитору), и доводится до сведения аудиторов, осуществляющих проверку, и до сведения сотрудников аудируемого лица, взаимодействующих с аудиторами.
7.1.1. Составление перечня оцениваемых организаций и ИКТ-систем
Планирование аудиторской проверки начинается с идентификации и систематизации организаций, ИКТ-систем, иных объектов аудита, организационных структур и должностных лиц, затрагиваемых проверкой. На этом этапе необходимо обеспечить понимание аудиторами направлений деятельности, функций, должностных обязанностей, систем подчинения и иных аспектов связи объектов аудита. Проведение этого этапа предполагает ознакомление с основными организационными документами аудируемого лица. При планировании аудита межведомственных систем аудитор обращает особое внимание на полноту составляемого перечня.
|
|
|
7.1.2. Ознакомление с набором применимых требований и нормативов
На данной стадии подготовки аудитор проводит систематизацию совокупности требований и критериев, на соответствие которым проводится оценка ИКТ-системы и процессов её эксплуатации. Аудитор должен обеспечить наиболее полный охват как нормативных правовых актов, так и внутренних документов и регламентов аудируемой организации.
7.1.3. Определение методов проверки
Аудитор определяет методы проверки, подлежащие использованию при проведении аудита, исходя из оценки существенности задач, решаемых системой и её компонентами, степени доверия к различным сторонам деятельности аудируемого лица. Аудитор должен идентифицировать возможные сильные и слабые стороны системы управления и контроля аудируемой деятельности, определить аспекты работы, требующие особого внимания (допускающие высокую вероятность ошибки, злоупотреблений, и др.). Аудитор также оценивает аудиторский риск, связанный с возможными ошибками аудитора.
Исходя из вышеперечисленного, аудитор выбирает совокупность наиболее приемлемых методов проверки, включающую, например:
· проведение опросов руководителей и сотрудников аудируемого лица;
· анкетирование руководителей и сотрудников аудируемого лица;
· выборочную сверку входящей информации (бумажных форм, электронных обменов с иными ИКТ-системами) с данными ИКТ-системы;
· выборочную сверку исходящей информации, в том числе публично раскрываемой информации (бумажных форм, электронных обменов с иными ИКТ-системами) с данными ИКТ-системы;
· встречную сверку данных различных ИКТ-систем;
· тестирование ИКТ-систем;
· ознакомление с исходными кодами программных приложений;
· тестовый ввод данных, моделирование работы ИКТ-системы в определённых условиях;
· наблюдение за работой лиц, ответственных за эксплуатацию ИКТ-системы;
· ознакомление с журналами доступов к системе, журналами различных типов операций;
· ознакомление с системами связи, аутентификации, резервного копирования;
· ознакомление со сведениями о работе службы внутреннего контроля аудируемого лица, с документацией внутренних проверок, их выводами;
· ознакомление с материалами предыдущих аудиторских проверок;
· ознакомление с техническими характеристиками помещений, в которых расположено оборудование и осуществляется эксплуатация ИКТ-системы.
Ознакомление с данными и выборочные сверки проводятся либо по случайной выборке, либо путём сплошной проверки данных какого-либо периода.
Выбор метода проверки определяется тем, какова сущность и объем аудиторских доказательств, на которых, по мнению аудитора, должно быть основано аудиторское заключение.
7.1.4. Назначение необходимого персонала
На данной стадии определяется персонал аудиторской организации, обладающий необходимой квалификацией для проведения планируемого аудита. Определяется также необходимость привлечения к проведению проверки внешних экспертов.
7.1.5. Подготовка плана работ
Планирование аудита завершается подготовкой плана работ, определяющего последовательность обследования, проводимые мероприятия, ответственных и сроки выполнение конкретных мероприятий.
7.2. Проведение обследования
Проведение обследований и сбор информации осуществляются в соответствии с планом работ. При проведении обследования проводятся, в числе прочих мероприятий:
|
|
|
· Заполнение опросных листов сотрудниками и руководителями аудируемого лица.
· Проведение интервью с сотрудниками и руководителями аудируемого лица.
· Получение документов у аудируемого лица.
· Ознакомление с данными ИКТ-систем аудируемого лица.
· Проведение наблюдений за работой сотрудников аудируемого лица.
· Проведение тестов ИКТ-систем.
Обязательным требованием при выполнении намеченных планом мероприятий является их полное документирование. Аудиторская организация должна иметь систему документального оформления и учёта выполняемых мероприятий, охватывающую весь вовлечённый в выполнение аудита персонал. Рабочие документы аудита должны быть полными и оформленными в соответствии с внутренними правилами аудиторской организации.
Документы аудита должны содержать информацию по основным вопросам проверки, записи о выполненных процедурах, аудиторские доказательства. В числе прочего, документально оформлен и обоснован, должен быть выбор всех принимаемых в ходе проверки решений. Документы аудиторской проверки свидетельствуют о качестве проверки, на основании их анализа и оценки делаются выводы и составляется аудиторское заключение.
Каждый документ должен быть чётко идентифицирован как либо полученный от аудируемого лица, либо составленный сотрудниками аудиторской организации. Документ должен иметь все необходимые реквизиты, порядковый номер по нумерации аудитора.
Полученные в ходе обследования у аудируемого лица документы хранятся в досье аудируемого лица. Отчёты аудиторов о проведённых мероприятиях оформляются в письменном виде и также хранятся в досье аудируемого лица.
Документация аудита, кроме аудиторского заключения, является конфиденциальной Аудиторская организация и её сотрудники обязаны обеспечить надлежащее хранение информации аудируемого лица, содержащей конфиденциальную информацию аудируемого лица или третьих лиц.
7.3. Обработка и оценка собранной информации.
Обработка и оценка полученной аудитором информации проводится сотрудниками аудитора для выявления:
|
|
|
· соответствия ИКТ-системы в целом целям её создания и эксплуатации;
· соответствия практики эксплуатации ИКТ-системы применимым требованиям нормативных правовых актов, внутренних регламентов и договоров аудируемого лица;
· соответствия информации, учитываемой в ИКТ-системе аудируемого лица, фактическим данным и обстоятельствам, учёт которых является целью эксплуатации ИКТ-системы, включая соответствие входящих и исходящих документов, и информационных обменов с иными ИКТ-системами;
· рисков аудируемого лица, связанных с эксплуатацией ИКТ-системы.
В процессе оценки собранной информации аудитор составляет своё мнение о соответствии ИКТ-систем и практики их использования критериям и требованиям, определённым в соответствии с условиями мандата аудитора. Выводы и мнения аудитора должны быть подкреплены аудиторскими доказательствами, основанными на информации, полученной от аудируемого лица.
7.4. Подготовка и обсуждение выводов аудита
7.4.1. Подготовка предварительных выводов
Предварительные выводы аудитора оформляются в виде проекта аудиторского заключения, комментариев аудитора, пояснительной записки. Передаваемые документы могут сопровождаться выдержками из документов аудита, содержащими аудиторские доказательства, использованные аудитором.
Все предварительные документы должны быть отмечены как таковые, содержать чёткое указание на их статус (например, фразы «предварительные выводы для ознакомления» и «не являются выраженным мнением аудитора о ….»).
Одновременно с подготовкой предварительных выводов могут быть подготовлены рекомендации аудитора.
Если аудиторская проверка затрагивала взаимодействующие ИКТ-системы различных организаций, предварительные выводы и рекомендации должны быть подготовлены по отдельности для каждой организации.
7.4.2. Обсуждение с представителями аудируемого лица
Предварительные выводы аудитора передаются для ознакомления и обсуждения руководству аудируемого лица. Передача предварительных выводов заказчику аудита (если он не совпадает с аудируемым лицо) остаётся на усмотрение аудитора. В случае принятия аудитором решения о передаче предварительных выводов заказчику, руководство аудируемого лица должно быть об этом осведомлено.
При проведении аудиторской проверки взаимодействующих ИКТ-систем различных организаций, каждой организации передаются только предварительные выводы и рекомендации, имеющие непосредственное отношение к её функционированию.
Аудитор должен выяснить мнение руководства аудируемого лица о предварительных выводах аудита. Аудитор самостоятельно принимает решение о внесении изменений в предварительные выводы, основываясь на собственной оценке разъяснений и сравнении их с выбранными аудиторскими доказательствами. Аудитор не обязан включать разъяснения руководства аудируемого лица в материалы, сопровождающие окончательное аудиторское заключение.
Аудируемое лицо может предпринять немедленные действия по изменению тех или иных аспектов эксплуатации ИКТ-систем на основании предварительных выводов аудитора или на основании рекомендаций аудитора, переданных вместе с предварительными выводами. Принятие рекомендации аудитора может быть отражено аудитором в окончательном аудиторском заключении, но не является основанием для изменения мнений и оценок аудитора в части тех выявленных недостатков, на исправление которых были направлены принятые меры.
7.5. Подготовка и предоставление аудиторского заключения и рекомендаций
После получения мнения руководства аудируемого лица по предварительному аудиторскому заключению и исследования дополнительной информации (если аудитор сочтёт такое исследование целесообразным), аудитор готовит окончательное заключение. Заключение аудитора передаётся заказчику аудита и руководству аудируемого лица.
При проведении аудиторской проверки взаимодействующих ИКТ-систем различных организаций, в зависимости от требований заказчика аудита, может быть подготовлено как отдельное заключение для каждой организации, так и единое заключение для всех аудируемых организаций.
