Совершенствование методического инструментария аудиторских проверок (1142753), страница 20
Текст из файла (страница 20)
Длясоздания комплексного плана аудитор должен объединить понимание объектааудита и основы принципов работы системы контроля ИТ, такой, как например,CobiT. Комбинация этих двух факторов позволяет планировать на основаниимодели оценки рисков. Для определения корректных объектов аудита необходимопровести «высокоуровневую» оценку ИТ системы. Конечным результатом этойстадии аудиторского цикла должен стать план ИТ аудита.Под объектом ИТ аудита понимается область, в отношении которойвыражается мнение. Обычно оно основывается на высокоуровневой структуре,которая классифицирует и связывает ИТ-ресурсы, ИТ-процессы, риски и системуконтроля.
Объект аудита должен быть определен на предметном уровне исостоять из объектов, процессов, процедур, систем, подсистем и прочихэлементов, которые могут влиять на объект аудита, быть определены и оценены.Например, стандарты CobiT выделяют 4 типа ИТ-ресурса и 34 ИТ-процедуры дляпроверки, которые вместе представляют корпоративную архитектуру ИТ.
ИТресурсы управляются посредством ИТ-процессов для достижения целей ИТ,которые, в свою очередь, соответствуют целям непосредственной деятельностиэкономического субъекта.ИТ-ресурсами являются: приложения – автоматические системы и ручные процедуры, которыеобрабатывают информационные потоки;115 информация – это любые данные ввода, обработки или вывода ИС; инфраструктура – технологии и механизмы (операционная система, базаданных, мультимедийная система, аппаратура и устройства ЭВМ и среда),которые позволяют функционировать ИТ системе; персонал – персонал, необходимый для планирования, организации,приобретения, внедрения, обслуживания, мониторинга и оценки ИС исервисов [50].Источник: Учебно-практическое пособие аудит информационнойинфраструктуры.Рисунок 3.3 – Определение целей ИТ и ее архитектура [38]Архитектура ранжируется по приоритету уровня риска, технологическойсложности, стратегической важности, дате внедрения технологии и известныминедостатками в системе контроля.
Данная процедура позволяет определить длякаждого ресурса архитектуры уровень риска в отношении каждого из них.Аудитор должен использовать подходящую технику оценки рисков илиподходов для создания общего плана и эффективного распределения ресурсов дляаудита. Модель оценки рисков используется для тестирования каждого элемента116объекта аудита и определения областей с наибольшим риском. Риски, связанные скаждой отдельной ИТ-процедурой, должны рассматриваться в сочетании сзадачами и процессами в организации, а не в отдельности.Оценки ИТресурсов (AssetValuation),Анализ угроз (ThreatAssessment)Корректирующиедействия (контрмеры)(Counter Measures)Анализуязвимостей(VulnerabilityAssessment)Оценка рисков (RiskAssessment)Оценкаэффективностиконтроля (ControlEvaluation)План действий повнедрению механизмовуправления (Action Plan)Величину остаточныхрисков (Residual Risk)Источник: Стандарт Cobit, руководство IT assurance guide: Using CobiT 2007Рисунок 3.4 – Анализ рисков [50]Алгоритм модели анализа рисков начинается с оценки ИТ-ресурсов (AssetValuation), необходимых для достижения бизнес-целей аудируемого субъекта.ИТ-ресурсы, как уже отмечалось ранее, включают в себя информацию,технические, программные и персонал, необходимые для ее получения,обработки, выдачи заинтересованным пользователям и хранения.
На следующемэтапе осуществляется анализ уязвимостей (Vulnerability Assessment) и угроз(Threat Assessment), препятствующих достижению бизнес-целей. Вероятностьугрозы, величина уязвимости, а также размер возможного ущерба определяютстепень риска, связанного с возможностью реального проявления той или инойугрозы. Далее аудитору необходимо выбрать корректирующие действия117(контрмеры) (Counter Measures), оценить их эффективность (Control Evaluation),определить величину остаточных рисков (Residual Risk) после реализацииконтрмери разработатьдля руководящего звена системы управленияаудируемого субъекта план действий по внедрению механизмов управления(Action Plan) [50].Высокоуровневая оценка представляет собой оценку ИС посредствоммодели зрелости на этапе планирования.
На данной стадии планирования модельпозволит идентифицировать проблемы, исходя из существующих данных:оценить, как действует система и как она должна работать на уровне зрелости«оптимизированный». Данная оценка позволит улучшить план аудита ввидуулучшения понимания рисков аудируемого лица и их ранжирования.Определение границ аудитаВторая стадия аудиторского цикла ИТ- стадия «определения границаудита».
На этой стадии определяется, какие ИТ-ресурсы и объекты контролядолжны быть проверены. Данная стадия состоит в выявлении связей между ИТресурсами (приложения, информация, инфраструктура и люди) и объектамиконтроля, эффективностью данных контролей.Стандарт CobiT выделяет 8 последовательных шагов для определения мерконтроля, которые покрывают риски ИТ-ресурса:Первый шаг – Определение бизнес-целейАудитор должен провести интервью работников компании и получитьчеткое понимание деятельности аудируемого лица и информацию, необходимуюдля понимания работы ИТ: требования бизнеса для ИТ и риски, связанные с ними; организационная структура; распределение ролей и зон ответственностей; внутренние нормативные документы с утвержденной политикой ипроцедурами; законодательные и нормативные акты;118 локальные контрольные процедуры; управленческая отчетность (статус, выполнение и действия); проблемы, имевшие место в прошлом, и действия, связанные с ихустранением; текущие проблемы и отношение руководства к ним; ожидание менеджмента от проведенной аудиторской проверки.Второй шаг – Документирование принципов корпоративной архитектурыИТ.Вторымшагомявляетсядокументированиепринциповработыкорпоративной архитектуры ИТ, дополнительным источником документированиякоторых будет обсуждение корпоративной архитектуры ИТ с работникамиаудируемого лица.Третий шаг – Выбор системы контроля.На данном этапе необходимо оценить и понять, с принципами какойсистемы контроля функционирует система контроля аудируемого лица.
Это могутбыть стандарты CobiT, COSO, соответствующие ISO стандарты и прочие.Четвертый шаг – Определение ИТ-процессовПосле выбора, в соответствии с какой системой контроля функционируетИТ-система, должны быть определены соответствующие ИТ-процессы иопределены ИТ-ресурсы, которые работают над ними. ИТ-процессы могут бытьопределены через анализ взаимосвязей бизнес-целей, ИТ-целей и самих ИТпроцедур.Пятый шаг – Определение ИТ-компонентовИТ-компоненты ИТ-ресурсов могут быть рассмотрены для определениярелевантных для проверки ИТ-ресурсов и ИТ-процессов с целью эффективногораспределения времени на аудит.Шестой шаг – Оптимизация ИТ-компонентовВ первоначальном процессе определения взаимосвязей ИТ-ресурсов и ИТпроцессов аудитор может сформировать очень много объектов проверки, в то119время как они могут не быть эффективными с точки зрения затрат времени наработу.
Таким образом, на данном шаге аудитор должен оптимизироватьвыбранные взаимосвязи между ИТ-ресурсами и ИТ-процессами и убедиться, чтоони имеют прямую взаимосвязь.Седьмой шаг – Определение объекта контроляАудиторделаетпредварительноеопределениеобъектовконтроля,релевантных для ИТ-процессов, которые попали в границы проверки.Восьмой шаг – Оптимизация выбора объектов контроляЗаключительным шагом на этапе определения границ аудита выступаетобобщение и финальное определение взаимосвязей ИТ-ресурсов и релевантныхдля них ИТ-процедур на первых 6 шагах со средствами контроля в отношенииних, определенных на шаге 7.
В соответствии с опытом создателей CobiT на этомэтапе очень часто отбрасываются средства контроля, нерелевантные длявыбранных ИТ-ресурсов и связанных с ними ИТ-процедур [50].Аудитор должен проанализировать риск недостижения контроля вотношении выбранного ИТ-ресурса и рассматривать только ИТ-ресурсы иконтроли, которые имеют существенный эффект, если контрольные меры невыполняются или не работают.Проведение аудитаТретий этап аудиторского цикла – проведение аудита состоит из 6 шагов:1. уточнение понимания цели аудита;2. уточнение границ ключевых контрольных мер для целей аудита;3. оценка эффективности системы внутреннего контроля;4. альтернативные и дополнительные способы оценки системы внутреннегоконтроля;5. документирование уязвимых мест системы контроля и влияние накорпоративную архитектуру ИТ;6. сбор и формирование выводов и рекомендации аудитора в отношениипроведенной работы.120Шаг 1 – Уточнение понимания цели аудита.
Первый шаг на этапепроведения аудита является уточнением понимания среды, в которой происходитоценка системы внутреннего контроля. Конечным результатом этого шага должновыступать четкое понимание ИТ-процессов: кто выполняет задачи, гдевыполняются задачи и когда выполняются задачи; действия, необходимые длявыполнения задачи, и их результат; формализация процедур для выполнениязадач.Шаг 2 – Уточнение границ ключевых контрольных мер для целей аудита.Основываясь на текущем понимании ИТ архитектуры, аудитор должен еще разпроанализировать возможность более эффективного распределения ресурсов напроверку ИТ-ресурсов, ИТ-процессов и мер контроля, основываясь на пониманиицелей, оптимальном методе оценки рисков и последних требованиях к аудиту ИТархитектуры организации.Шаг 3 – Оценка эффективности системы внутреннего контроля: оценкаэффективности основывается на оценке средств контроля; оценке исполнениясредств контроля; на оценке операционной эффективности контрольных мер.Стандарт CobiT выделяет основные методы оценки системы контроля, которыемогут быть использованы: запроси подтверждение: поиск нестандартных отклонений и ихобследование; изучение необычных и нерутинных операций и транзакций; проверка, былоли что-либо не проведено (выборка); интервьюирование работников, оценка их знаний и их пониманиядеятельности; сверка транзакций (к примеру сверка транзакций движения денежныхсредств с банковскими выписками); инспектирование: обзор внутренних правил, процедур и политикикомпании; поиск транзакций в ИТ-процедурах\системе;121 наличиефизическогоприсутствия(первичноедокументирование,физическое наличие активов и т.д.); тщательное обследование оборудования; оценка ожидаемых результатов с текущими; наблюдение: наблюдение и описание ИТ-процессов; оценка ожидаемых результатов по сравнению с текущими.
Повторноевыполнение:оценкаожидаемыхрезультатовработы;оценкапредотвращенных угроз системой контроля; повторное выполнение процедуры оценки средств контроля; оценка ожидаемых значений с фактическими; оценка ожидаемых результатов работы с текущими; оценка автоматически собранных доказательств: сбор данных выборок;анализданныхсиспользованиеминформационно-компьютернойаудиторской техники; оценка ожидания и ключевые транзакции.В итоге аудитор должен определить, существуют ли у аудируемого лицаформализованные процедурыконтроля,выполняютсяли существующиеконтрольные процедуры, ответственность и подотчётность, прозрачные иэффективные механизмы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
