Содержание к диссертации
Введение
Глава 1. Повышение качества современного аудита и перспективы развития его теоретико-методологического аппарата 13
1.1. Аудит — элемент системы обеспечения устойчивого развития субъектов хозяйствования и экономики в целом 13
1.2. Информационные технологии в аудите: основные направления использования 19
1.3. Аудит информационных систем - как фактор повышения качества аудита 27
Глава 2. Методологические подходы к аудиту информационных систем 35
2.1. Особенности аудита в условиях КОД и оценка риска и внутреннего контроля в среде компьютерной и информационных систем аудируемого субъекта.
2.2. Аудит информационных систем и баз данных. 72
2.3. Направления использования и подходы к совершенствованию информационных систем (ИС) аудита. 104
Глава 3. Средства и методы аудита информационных систем . 135
3.1. Методика аудита в условиях КОД и оценки риска и внутреннего контроля в среде компьютерной и информационных систем аудируемого субъекта. 135
3.2. Методика аудита информационных систем и баз данных . 152
3.3. Информационные системы комплексной автоматизации аудита. 173
Заключение 185
Литература
- Информационные технологии в аудите: основные направления использования
- Аудит информационных систем - как фактор повышения качества аудита
- Аудит информационных систем и баз данных.
- Методика аудита информационных систем и баз данных
Введение к работе
Актуальность темы исследования. В настоящее время проблема совершенствования и развития теоретико-методологического аппарата аудита связана с объективной необходимостью повышения его качества в целях удовлетворения потребностей общества в достоверной информации о финансово-экономическом состоянии организаций, а также с использованием в этих целях современных информационных технологий.
Особенностью функционирования аудируемого предприятия сегодня является постоянное увеличение потока финансово-экономической информации и рост требований, предъявляемых пользователями к ее обработке. Автоматизация учетной деятельности предприятия как инструмент оперативного контроля со стороны руководства за деятельностью организации позволяет повысить аналитичность необходимой для управления информации, используемой как в повседневном, так и стратегическом анализе. Важным фактором использования информационных систем в учетной деятельности является снижение трудозатрат по обработке финансовой информации и повышения скорости получения результатных данных. От эффективности функционирования информационных систем непосредственно зависит устойчивое развитие предприятия как субъекта экономических отношений при значительно возросшем уровне автоматизации учетной деятельности.
С учетом все возрастающей зависимости проверяемых экономических субъектов от их информационных систем возникает необходимость в дальнейшем совершенствовании аудиторских стандартов в области планирования и осуществления аудита в условиях компьютерной обработки данных (КОД) и оценки риска и внутреннего контроля в условиях компьютерной и информационных систем аудируемого субъекта.
Необходимо отметить то, что компьютерная обработка данных является не столько формализованной технической процедурой, сколько средой, в
которой осуществляются процессы сбора, обработки, трансформации и хранения информации. Компьютерная обработка данных представляет собой совокупность технических и социальных процессов, в которой формируются информационные потоки, т.е. формируется среда, которая является условием функционирования информационных систем. Поэтому для целей данного диссертационного исследования термины «условия КОД» и «среда КОД» будут считаться тождественными.
Использование информационных систем в учетной деятельности приводит к возникновению рисков, которые не характерны обработке данных вне компьютерной среды, например, риск неоднократного ввода данных, риск сохранности информации, риск хакерских атак и т.д. Влияние указанных рисков в среде компьютерной обработки данных увеличивается вследствие их узкой специфичности.
Необходимость исследования и уточнения понятийного аппарата, создание методики проверки и стандартизация такой специфической области, как информационный аудит и аудит в условиях компьютерной обработки данных, а также работа по совершенствованию информационных систем аудита с современных позиций, требует дальнейшего исследования этой предметной области.
В этой связи, видится необходимым, используя российский и зарубежный опыт, рассмотреть вопросы разработки и совершенствования теоретико-методологического аппарата аудита в условиях компьютерной обработки данных и практические аспекты его применения.
Степень разработанности проблемы. Вопросы методики и организации аудита исследовали ведущие отечественные и зарубежные ученые и практики: Арене Э., Барышников Н.П., Булыга Р.П., Голосов О.В., Гутцайт Е.М., Данилевский Ю.А., Лоббек Дж., Мельник М.В., Подольский В.И., Робертсон Дж., Скобара В.В., Сиротенко Э.А., Суйц В.П., Шапигузов СМ., Шеремет А.Д.
Отдельные вопросы методологии и организации аудита в условиях компьютерной обработки данных рассмотрены в исследованиях Барышникова Н.П., Бузановой Я.В., Бычковой СМ., Исаева Г.Н., Комиссарова В.Л., Одинцова Е.Б., Патрушиной СМ., Подольского В.И., Растамхановой Л.Н., Романова А.Н., Сиротенко Э.А., Титоренко Г.А., Федоровой Г.В., Ярочкина В.И. и др.
В последние годы большое внимание уделяется аудиту эффективности информационных систем. В данном направлении в международной практике были разработаны стандарты CobiT, Information technology infrastructure library (ITIL), Capability Maturity Model Integration (CMMI), Committee of sponsoring organizations (COSO), пр. Однако эти стандарты чаще всего используются специалистами в сфере информационных технологий, а не аудиторами в силу специфичности используемой терминологии и технической направленности.
Методология аудита информационных систем рассматривается преимущественно в технических аспектах функционирования информационных систем, влияющих на составление финансовой отчетности. В настоящее время отсутствует единая позиция о сущности аудита информационных систем в условиях КОД. Методика аудита информационных систем в условиях КОД и, в частности, информационных систем, влияющих на достоверность составления финансовой отчетности, практически не разработана.
Необходимость разработки методики аудита в условиях КОД, недостаточная разработанность концептуальных и методологических подходов к аудиту информационных систем определили выбор темы и направление исследования.
Цель и задачи исследования. Целью исследования является решение научной задачи формирования теоретического и методического
инструментария проведения аудиторской проверки информационных систем в условиях КОД аудируемого лица.
Достижение поставленной цели потребовало решения следующих задач:
исследовать теоретические и практические подходы к проведению аудита в условиях компьютерной обработки данных;
определить базовые положения методологии аудита ИС в части принципов, методов и способов функционирования ИС;
исследовать возможности применения компьютеров в ходе аудита и провести анализ программного обеспечения, используемого в российской аудиторской практике;
провести классификацию рисков в условиях компьютерной обработки данных на предприятии;
проанализировать контрольные процедуры в условиях компьютерной обработки данных и разработать рекомендации по их проверке;
разработать методику аудита функционирования информационной системы бухгалтерского учета аудируемого лица и оценки ее влияния на достоверность финансовой отчетности.
Предмет и объект исследования. Предметом исследования являются средства и методы аудита информационных систем и аудита в условиях КОД. Объектом исследования является аудиторская деятельность в условиях компьютерной обработки данных.
Теоретической и методологической основой исследования являются теоретические и методологические положения, содержащиеся в трудах отечественных и зарубежных ученых в области теории бухгалтерского учета и аудита, действующие законодательно-правовые и нормативные акты, регулирующие бухгалтерский учет, аудиторскую деятельность, российские и международные стандарты по учету, отчетности, аудиту и безопасности информационных систем.
В ходе исследования проанализированы и использованы разработки, выполненные научными коллективами и отдельными учеными в Финансовой академии при Правительстве РФ, Московском государственном университете им. М.В. Ломоносова, Всероссийском заочном финансово-экономическом институте, Московском государственном университете экономики, статистики и информатики, Санкт-Петербургском университете экономики и финансов им. Вознесенского, Ассоциации дипломированных привилегированных бухгалтеров (Великобритания), Американского общества дипломированных бухгалтеров, Канадского общества профессиональных бухгалтеров и других организациях.
Информационную базу исследования составили программные продукты российских и зарубежных производителей, материалы научных конференций и семинаров, публикации в экономических и компьютерных изданиях, материалы, размещенные в сети Internet и СПС: Консультант Плюс, Были использованы также справочные и информационные издания аудиторских фирм. Были изучены официальные публикации специалистов российских и зарубежных аудиторских фирм.
Исследование основано на конкретных приложениях методологии научного познания в прикладных направлениях бухгалтерского учета, аудита и информатики в рамках системного, комплексного и логического подходов. В качестве конкретных методов исследования применялись системный анализ, обобщение теоретического и фактического материала, сравнение, наблюдение, абстрагирование и формализация.
Область исследования. Работа выполнена в соответствии с п.п. 2.1 «Методология и технология аудита» и 2.4 «Методология разработки программ аудита и плана проверок» Паспорта специальности ВАК (Экономические науки) по специальности 08.00.12 «Бухгалтерский учет, статистика».
Научная новизна заключается в теоретическом обосновании и разработке методологии и методики аудита информационных систем в условиях компьютерной обработки данных.
В работе получены и выносятся на защиту следующие научные результаты:
развит понятийный аппарат аудита информационных систем в
условиях компьютерной обработки данных, сформулированы
особенности, средства и методы аудита в этой области, в частности;
разработана методика аудита информационных систем в условиях компьютерной обработки данных;
разработана методика аудита в условиях КОД;
разработана методика анализа и оценки достоверности составления финансовой отчетности в условиях КОД;
разработана методика оценки рисков в условиях КОД;
разработана методика оценки СВК в условиях КОД.
Практическая значимость исследования заключается в том, что ее положения ориентированы на широкое использование при создании общих и частных методик аудита информационных систем, аудита в условиях КОД, а также при проектировании автоматизированных информационных систем аудита.
Самостоятельное практическое значение имеют:
методика анализа и оценки достоверности составления финансовой отчетности в условиях компьютерной обработки данных;
внутрифирменный стандарт аудиторской деятельности «Аудит в условиях КОД»;
рекомендации по планированию аудиторской проверки в условиях КОД;
рекомендации по оценке рисков, связанных с КОД в ходе определения величины неотъемлемого аудиторского риска и риска средств контроля;
методика аудита информационных систем.
Материалы диссертационного исследования могут быть рекомендованы к использованию в учебном процессе.
Внедрение и апробация результатов исследования. Отдельные положения и рекомендации, сформулированные в работе, нашли применение при проведении аудиторских процедур по проверке информационных систем в условиях компьютерной обработки данных в международной аудиторской фирме ЗАО «КПМГ», что подтверждается справкой о внедрении.
Материалы исследования используются кафедрой «Аудит и контроль» ФГОУ ВПО «Финансовая академия при Правительстве Российской Федерации» в преподавании учебных дисциплин: «Аудит», «Основы аудита», «Практический аудит: продвинутый курс», «Компьютерный аудит», «Внутренние стандарты аудита», «Международные стандарты аудита» при подготовке и переподготовке студентов специалитета, магистратуры, второго высшего образования, что подтверждается справкой о внедрении в учебный процесс.
Полученные теоретические и методологические результаты докладывались на конференциях и семинарах, в том числе:
Межвузовской студенческой научной конференции «Актуальные проблемы совершенствования бухгалтерского учета, анализа и аудита» (Москва, 2008) - организатор ФГОУ ВПО «Академия бюджета и казначейства Министерства финансов Российской Федерации».
Неделе Науки «Проблема активизации инвестиционного процесса» в рамках круглого стола «Социология, финансы, государство» (Москва, 2005) - организатор ФГОУ ВПО «Финансовая академия при Правительстве Российской Федерации».
Недели Науки «Экономические и социальные рычаги развития реального сектора экономики» в рамках круглого стола «Проблемы бухгалтерского учета и анализа хозяйственной деятельности в условиях развития реального сектора экономики» (Москва, 2004) - организатор ФГОУ ВПО «Финансовая академия при Правительстве Российской Федерации».
Публикации. Основные результаты исследования опубликованы в шести печатных работах общим объемом 8,6 п.л., в т.ч. три работы объемом 2,2 п.л. в изданиях, определенных ВАК.
Объем и структура диссертационной работы. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы, включающего 198 наименований, и 4 приложения. Работа содержит 47 таблиц, 6 рисунков, 2 диаграммы и 2 гистограммы.
Информационные технологии в аудите: основные направления использования
С учетом все возрастающей зависимости проверяемых экономических субъектов от их информационных систем возникает необходимость в дальнейшем совершенствовании аудиторских стандартов в области планирования и осуществления аудита в условиях компьютерной обработки данных (КОД) и оценки риска и внутреннего контроля в среде компьютерной и информационных систем аудируемого субъекта.
Необходимо отметить то, что компьютерная обработка данных является не столько формализованной технической процедурой, сколько средой, в которой осуществляются процессы сбора, обработки, трансформации и хранения информации. Компьютерная обработка данных представляет собой совокупность технических и социальных процессов, в которой формируются информационные потоки, т.е. формируется среда, которая является условием функционирования информационных систем. Поэтому для целей данного диссертационного исследования термины «условия КОД» и «среда КОД» будут считаться тождественными.
Использование информационных систем в учетной деятельности приводит к возникновению рисков, которые не характерны обработке данных вне компьютерной среды, например, риск неоднократного ввода данных, риски сохранности информации, риски хакерских атак и т.д. Влияние указанных рисков в среде компьютерной обработки данных увеличивается вследствие их узкой специфичности.
Необходимость исследования и уточнения понятийного аппарата, создание методики проверки и стандартизация такой специфической области, как информационный аудит и аудит в условиях компьютерной обработки данных (КОД), а также работа по совершенствованию информационных систем аудита с современных позиций, требует дальнейшего исследования этой предметной области.
В этой связи, видится необходимым, используя российский и зарубежный опыт, рассмотреть вопросы разработки и совершенствования теоретико-методологического аппарата аудита в условиях компьютерной обработки данных и практические аспекты его применения.
Степень разработанности проблемы. Вопросы методики и организации аудита исследовали ведущие отечественные и зарубежные ученые и практики: Арене Э., Барышников Н.П., Булыга Р.П., Гутцайт Е.М., Данилевский Ю.А., Лоббек Дж., Мельник М.В., Подольский В.И., Робертсон Дж., Скобара В.В., Сиротенко Э.А., Суйц В.П., Шапигузов СМ., Шеремет А.Д.
Отдельные вопросы методологии и организации аудита в условиях компьютерной обработки данных рассмотрены в исследованиях Барышникова Н.П., Бузановой Я.В., Бычковой СМ., Исаева Г.Н., Комиссарова В.Л., Одинцова Е.Б., Патрушиной СМ., Подольского В.И., Растамхановой Л.Н., Романова А.Н., Сиротенко Э.А., Титоренко Г.А., Федоровой Г.В., Ярочкина В.И. и др.
В последние годы большое внимание уделяется аудиту эффективности информационных систем. В данном направлении в международной практике были разработаны стандарты CobiT, Information technology infrastructure library (ITIL), Capability Maturity Model Integration (CMMI), Committee of sponsoring organizations (COSO), пр. Однако эти стандарты чаще всего используются специалистами в сфере информационных технологий, а не аудиторами в силу специфичности используемой терминологии и технической направленности.
Методология аудита информационных систем рассматривается преимущественно в технических аспектах функционирования информационных систем, влияющих на составление финансовой отчетности. В настоящее время отсутствует единая позиция о сущности аудита информационных систем в условиях КОД. Методика аудита информационных систем в условиях КОД и, в частности, информационных систем, влияющих на достоверность составления финансовой отчетности, практически не разработана.
Необходимость разработки методики аудита в условиях КОД, недостаточная разработанность концептуальных и методологических подходов к аудиту информационных систем определили выбор темы и направление исследования.
Цель и задачи исследования. Целью исследования является решение научной задачи формирования теоретического и методического инструментария проведения аудиторской проверки информационных систем в условиях КОД аудируемого лица.
Предмет и объект исследования. Предметом исследования являются средства и методы аудита информационных систем и аудита в условиях КОД. Объектом исследования является аудиторская деятельность в условиях компьютерной обработки данных.
Теоретическую и методологическую основу исследования составили теоретические и методологические положения, содержащиеся в трудах отечественных и зарубежных ученых в области теории бухгалтерского учета, аудита и информатики, действующие законодательно-правовые и нормативные акты, регулирующие бухгалтерский учет, аудиторскую деятельность, российские и международные стандарты по учету, отчетности, аудиту и безопасности информационных систем.
Аудит информационных систем - как фактор повышения качества аудита
Таким образом, среди показателей, характеризующих деятельность экономического субъекта, можно выделить следующие: экономичность (абсолютную или относительную экономию финансовых средств исходя из достигнутых количественных и качественных результатов использования ИС) - риски, связанные с чрезмерной экономией и недостаточным развитием ИС; результативность (степень достижения запланированных результатов и конечный социально-экономический эффект, полученный от использования ИС) - риск завышенных оценок и недостижимых целей; продуктивность (степень соотношения между полученными результатами и использованными на их достижение финансовыми, материальными и трудовыми ресурсами) - риски, связанные с соотношением «затраты - качество».
Риски, влияющие на исходные бухгалтерские данные также можно разделить на 2 крупные группы в соответствии с правилом (стандартом) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем», а именно: а) риски, связанные с концентрацией функций управления; б) риски, связанные с концентрацией данных и программ для их обработки. К таким рискам можно отнести следующие (см. таблицу 2.1.4).
Риски, связанные с концентрацией функций управления Риски, связанные с концентрацией данных и программ для их обработки
Потеря разделения обязанностей,необходимой для эффективной работы ИС. Риск проведения бухгалтерских записей безавторизации (визирования) расходов. Риск несанкционированного доступа. Риск несанкционированных бухгалтерскихзаписей. Риск потери и/или искажения данныхвследствие утраты или порчи компьютеров,программного обеспечения. Риск потери первичных документов. Риски, связанные с осуществлениемавтоматических бухгалтерских записей. Риски, связанные с формированиемфинансовой отчетности ИС в автоматическомрежиме.
В основе другой классификации рисков, связанных с проведением аудита экономического субъекта, работающего в среде КОД, лежат источники потенциальных опасностей. В данном случае выделяют следующие риски.
Риски, связанные с аппаратным и программным обеспечением проверяемого экономического субъекта связаны с возможностью потери или искажения данных из-за сбоев в функционировании аппаратных средств, дефектов в самом программном обеспечении или неправильных его настройках. При анализе этой группы рисков необходимо учитывать следующие аспекты:
В части аппаратного обеспечения: тип и возраст применяемой вычислительной техники; количество рабочих мест, наличие сети (при отсутствии сети - способ передачи данных между компьютерами); наличие договоров аутсорсинга с организациями, обслуживающими вычислительную технику при отсутствии соответствующих штатных работников.
В части программного обеспечения: тип применяемого программного обеспечения, уровень его сложности; наличие лицензии на применяемое программное обеспечение (много рисков связано с применением контрафактной продукции); наличие договора на техническое обслуживание программного продукта с фирмой-производителем, в т.ч. регулярность обновления версий и релизов, регулярность обновления новых форм документов и отчетных форм при изменении действующих законодательств.
В настоящее время аудитору доступны различные программные продукты анализа рисков экономического субъекта. К ним можно отнести следующие: CRAMM британской компании Insight Consulting, американскую RiskWatch одноименной компании и российский пакет ГРИФ компании Digital Security.
Метод CRAMM (ССТА Risk Analysis and Management Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. Начиная с 1985 г. он используется правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting занимается разработкой и сопровождением программного продукта, реализующего метод CRAMM.
-51 В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод универсален и подходит и для больших, и для малых организаций как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга базами знаний (profiles): для коммерческих организаций имеется Commercial Profile, для правительственных -Government profile. Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского
ГРИФ - это комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2006 из состава Digital Security Office дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты корпоративной информации. Система ГРИФ анализирует уровень защищенности ресурсов, оценивает возможный ущерб от реализации угроз ИБ и помогает управлять рисками, выбирая контрмеры.
Анализ рисков ИС проводится двумя способами: при помощи модели информационных потоков или модели угроз и уязвимостей, в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные его интересуют на выходе.
Аудит информационных систем и баз данных.
Наблюдение - наиболее простой из предложенных способов, поскольку не требует особых навыков. Однако данный способ можно использовать в отношении документирования ограниченного числа элементов среды КОД. Например, уровни доступа не могут быть всесторонне изучены только посредством наблюдения за сотрудниками ЭС.
Инспектирование документации - способ, требующий от аудитора определенных навыков, поскольку подразумевает не только механический перенос данных с одного документа в другой (рабочая документация аудитора), но и оценку релевантности регламентов, установленных в организационной структуре проверяемого субъекта. Например, аудитор имеет возможность оценить частоту и эффективность контрольных проверок, полноту и существенность предоставляемых по результатам проверок отчетов, адекватность мер принимаемых по результатам проверок.
Опрос может быть проведен как среди высшего руководства, так и среди рядовых сотрудников проверяемого ЭС. Опрос позволяет получить информацию в отношении тех областей оценки работы аудитора в среде КОД, которые были не полностью или совсем не оценены в рамках предыдущих процедур.
Наибольший эффект достигается посредством комбинации указанных методов. Однако данные методы не являются исчерпывающими, и аудитор может использовать ряд других процедур, например, воспроизведение. Аудитор может повторить полностью операцию, проделанную каким-либо из сотрудников ЭС, чтобы удостовериться, что информация в отношении общих элементов среды КОД отвечает принципам достаточности и надлежащего характера.
Тип аппаратного и программного обеспечения Наблюдение. Инспектирование. Реестр объектов основныхсредств. Фактический осмотр объектов.
Краткая характеристика обрабатываемой информации:тип данных, источники информации,потребители информации,взаимодействие с другими элементами среды КОД. Инспектированиедокументации. Опрос. Внутренние регламенты вотношении: - разделенияобязанностей средисотрудников; - взаимодействияс другими элементами средыКОД. Опросный лист скомментариями ответственныхсотрудников.
Пользователи Инспектированиедокументации. Внутренние регламенты в отношении групп пользователей и уровней доступа.
Наличие средств защиты Наблюдение. Инспектирование. Опрос Отчет аудитора по результатамнаблюдения и инспетированияналичия средств защиты. Внутренние регламенты вотношении организационныхмер обеспечения безопасности. Отчеты сотрудников отделаинформационной безопасностипо результатам контрольныхпроверок. Письменные жалобысотрудников нанеэффективную работу средств
По результатам предварительной оценки среды КОД аудитор составляет профессиональное мнение о степени ее влияния на финансовую отчетность, необходимости детального тестирования работы элементов КОД и необходимости привлечения внешних и/или внутренних экспертов в области информационных технологий.
Тем не менее, в случае принятия аудитором решения об отказе от детальных процедур тестирования среды КОД, он должен описать ее элементы и способы ее функционирования в соответствии с новыми требованиями МСА 230 «Документирование аудита» (изменения произошли в 2006 году и вступили в силу с января 2008 года).
Проведя предварительную оценку элементов среды КОД с использованием указанных процедур, аудитор оценивает необходимость получения доступа непосредственно к программным продуктам ЭС посредством выделения отдельного АРМ. Данный вопрос и вопрос уровня доступа должны быть согласованы с руководством ЭС.
Аудитор должен оценить знания и квалификацию сотрудников аудиторской фирмы, привлекаемых для проверки, в части понимания технического, программного, математического и других видов обеспечения компьютерной техники, а также системах обработки финансовой информации. Аудиторской фирме целесообразно вести справочники наиболее часто используемых систем КОД с описанием особенностей их функционирования. В случае необходимости аудитор может привлекать к описанию условий КОД аудируемого лица (АЛ) экспертов.
Описание функционирования среды КОД на операционном уровне означает отражение вопросов формализации действий сотрудников в отношении работы в среде КОД и практической их реализации в рутинном или экстраординарном окружении. Под рутинным окружением подразумевается рабочая среда, в которой внешние и внутренние угрозы известны и не оказывают значительного влияния на работу пользователя. Под экстраординарным окружением подразумевается возникновение нерегламентированных ситуаций, реакция на которые ведет к частичному или полному прекращению осуществления операций пользователем и/или угрозе повреждения данных/финансовой информации.
Описанию операционного уровня в рабочей документации аудитора предшествует изучение внутренней документации ЭС, а также проведение устного и/или письменного опроса среди ответственных лиц, среди которых выделяют сотрудников отдела ИТ и информационной безопасности, руководителей отделов и рядовых специалистов.
Опрос следует проводить на основании заранее разработанного перечня вопросов. Приблизительный перечень вопросов по описанию организационного и операционного уровней среды КОД представлен в Приложении №1 «Внутрифирменное правило (стандарт) аудиторской деятельности «Аудит в условиях компьютерной обработки данных (КОД)».
Помимо указанных методов (инспектирование документации, устный и письменный опрос) аудитор может прибегнуть к такому методу как метод концептуальных связей.
Используя метод концептуальных связей (concept mapping) аудитор может наглядно представить взаимосвязь между элементами среды КОД. Метод концептуальных связей представляет собой способ определения очевидных закономерностей между событиями и объектами или отображениями в среде КОД событий и объектов, объединенных общим назначением. Под концепцией в целях
Метод концептуальных связей разработан на основе теории Давида Аусубела об эффективном обучении, которая утверждает, что эффективное обучение - это процесс, в котором новая информация сопоставляется с существующим аспектом в человеческой структуре знания [193].
Метод концептуальных связей способствует движению необходимой информации путем определения и отображения связей между полученной на стадии планирования информацией и ожидаемых данных. Наиболее наглядной реализацией данного метода на практике является построение графических моделей. На начальном этапе построения графической модели она может представлять собой вертикальную иерархию из блоков информации под общими условными названиями или разрозненные данные о работе ЭС в среде КОД. При более детальном изучении и выявлении глубинных процессов в каждом из блоков информации графическая модель пополняется горизонтальными связями. На этой стадии необходимо провести правильное сопоставление предварительных данных с полученными в ходе описания среды КОД (рис.3.1.1.).
Уровень детализации концептуальных связей зависит от поставленной задачи и практических возможностей ее реализации, например, отсутствие доступа к внутренним-регламентам ЭС (технической документации) может привести к тому, что аудитор не получит всестороннего понимания уровня предоставления доступа к различной информации в среде КОД, что может привести к увеличению масштаба аудиторских процедур в ходе осуществления проверки.
Методика аудита информационных систем и баз данных
Как и предыдущие программные продукты «AuditNET» автоматизирует процесс аудита со стадии подготовки и планирования, стадию проведения аудиторских процедур и заключение.
Программа «AuditNET» позволяет использовать уже готовые методические рекомендации или реализовывать в программе собственные методики в модуле «Методология». По словам разработчиков, AuditNET «была на рынке первой системой, которая имела возможность настройки под методику и технологию аудита» [22]. От предыдущих программных продуктов AuditNET действительно отличается именно своей гибкостью в настройках, которые позволяет уже имеющиеся методические наработки аудиторской фирмы импортировать в программу, если они составлены в форматах Word и/или Excel. После импорта необходимо в документе для всех полей провести связи с объектами базы данных.
Автоматизируя управленческие моменты проведения аудита, «AuditNET» позволяет наглядно документировать сроки и регламент проведения работ через построение диаграммы Гантта. «Диаграмма Гантта - инструмент планирования, отражающий статус каждого задания. Временная протяженность каждого задания показана по горизонтальной оси диаграммы. По вертикальной же оси могут располагаться фамилии аудиторов группы» [17].
Отличительной особенностью программы AuditNET является возможность проведения глубокого финансового анализа предприятия, необходимого для принятия взвешенных и рациональных управленческих решений [1].
Программа также автоматизирует отношения с клиентами, управление кадрами, документооборот, оказание сопутствующих аудиту услуг и контроль качества аудита в модулях «Клиенты», «Договоры», «Компания» и «Управление».
Программа «AuditNET» учитывает доходы и расходы по проектам, чтобы руководителю проверки можно было рассчитать рентабельность, прибыльность проеісга и вовремя принять взвешенные управленческие решения.
Таким образом, проведя сравнительный анализ ряда программных продуктов, представленных на рынке автоматизации средств аудита, параметры выбора информационной системы представлены в таблице №3.3.2. Данные параметры были разработаны с учетом требования комплексности автоматизации процесса проведения аудита, поэтому охватывают широкий спектр областей, в которых информационная система аудита может помочь аудитору в работе.
Возможности системы Совместимость с продуктами MS Office Возможность получить код программирования от разработчика и дальнейшее его использование самостоятельно Возможность работы в системе, как в сетевом, так и локальном варианте Возможность использования модемного или кабельного соединения из удаленных мест и синхронизации данных Возможность разрешения конфликтов синхронизации данных Администрирование Возможность распределять уровни безопасности Возможность распределять уровни доступа (чтение / написание / исправление) в зависимости от должности сотрудника Минимальные затраты на поддержку системы Возможность отслеживания проектов по каждому клиенту Возможность автоматического определения даты последнего аудита Возможность отслеживать ключевые даты проектов Возможность определять фактический статус аудиторских заданий Возможность создания гиперссылок на внешние документы Поддерживать базу данных сотрудников Возможность ознакомиться с данными об образовании и опыте работы каждого сотрудника Возможность заполнения специальных шаблонов оценки работы каждого сотрудника -181
Планирование Разработка плана аудиторской проверки с расчетом его бюджета и возможных отклонений Возможность управлять данными о клиентах Создание предварительного плана аудиторских проектов и графика их проведения Возможность автоматического расчета даты проведения следующего аудита исходя из данных прошлых лет Возможность оценки рисков с использованием различных критериев и просмотра комментариев к проведенному анализу Рабочая документация Возможность закрепления определенных секций плана проведения аудита за сотрудниками фирмы Возможность документирования результатов проведенной работы Возможность создавать гиперссылки или «прикреплять» внешние документы и файлы, созданные в других программах Возможность архива документов использовать внутреннюю систему ссылок и нумерации страниц архива Возможность документировать результаты непосредственно в базе данных и автоматически проставлять ссылки и гиперссылки на другие файлы базы данных и внешние документы Возможность распечатывать документы непосредственно из информационной системы, включая программы проведения аудита Возможность распечатывать замечания проверяющего, возникшие в ходе редактирования и записанные непосредственно в документе Возможность составлять отдельные файлы с замечаниями в ходе редактирования с указанием активных ссылок на документы, к которым относится замечание Возможность осуществления контекстного поиска и поиска по заданным критериям отбора Возможность просмотра законченной рабочей документации непосредственно в системе с комментариями на замечания проверяющего -182
Обеспечение безопасности электронной подписи каждого из участников проекта / пользователей системы Составление подборки личных методик аудита и/или программ Возможность дополнения предложенных стандартных вариантов программ собственными процедурами Возможность распределения уровней риска по секциям аудиторской программы Возможность задать общий уровень риска для проекта Возможность документирования критериев оценки риска Заключительная стадия аудита Возможность автоматического создания документа с выводами и отклонениями, найденными аудиторами в ходе работы Возможность настройки аудиторского заключения Возможность автоматически составлять аудиторское заключение в привычном для клиента формате Возможность передачи аудиторского заключения посредством электронной почты Наличие вариантов для рекомендации клиенту в качестве мер действий по результатам аудиторской проверки Завершение Возможность отслеживать стадию выполнения замечаний, которые были сделаны группе аудиторов в ходе проверки Возможность составления итоговых отчетов со списком: замечаний, по которым не было проведено работы, повторяющихся отклонений, статистическими данными о проверке Возможность отслеживать результаты по рекомендованным клиенту действиям по результатам аудиторской проверки Возможность составлять отчеты с отклонениями по клиентам / проектам, руководителям аудиторской проверки или по географическому признаку (например, расположению офиса аудиторской фирмы) Учет рабочего времени -183
Возможность отслеживать фактическое рабочее время, потраченное на проект всеми участниками проверки Возможность создавать отчеты о фактическом рабочем времени по следующим критериям: прямые и косвенные затраты, сравнение с бюджетом, проекты, которые находятся в процессе реализации Возможность отслеживать реализацию запланированного времени- Возможность авторизовывать табели учета времени сотрудников группы в режиме реального времени Система не позволяет кодировать табель учета времени на «закрытые» проекты Возможность использования фильтров для получения информации о текущем состоянии проекта Услуги компании-поставщика Возможность обучения пользователей: на рабочих местах в течение семинара, в течение семинаров у поставщика, тренинг на компьютере, пр. Поставщик оказывает услуги обслуживания по телефону и/или по электронной почте Поставщик предоставляет обновленные версии программы Руководство пользователя представляется не только в бумажном, но и в электронном виде Брошюры / иллюстративные материалы по результатам тренинга / обучающего семинара содержат информацию: обо всех компонентах ИС, их использовании, возможности модификаций, о дополнительных возможностях и способахознакомиться с их работой