8 (800)
301-72-33

Аудит информационных систем

Практически все современные компании используют IT-инфраструктуру. Учитывая это, аудит информационных систем по международным стандартам – неотъемлемая часть эффективной работы предприятия.

Во время аудита ИС контролируются:

  • функциональные принципы ИС;
  • способы хранения данных;
  • использование контрольных процессов, которые мониторят функционирование среды обработки данных;
  • уровень лицензированного ПО;
  • установка соответствий используемых алгоритмов к требованиям стандартов;
  • возможность обновления ПО для оперативной реакции на изменения задач бизнеса;
  • возможность оперативно или планомерно расширять функционал установленных систем;
  • уровень информационной безопасности;
  • общая информационная политика предприятия.

Процедуры контроля при аудите информационных систем:

  • проверка точности работы систем;
  • контроль ПО и среды ИС;
  • проверка и ведение аналитических счетов и ведомостей;
  • составление документации и ее контроль;
  • сравнительная характеристика данных;
  • установка ограничений доступов к корпоративной информации и активам компании;
  • анализ эффективности расхода бюджета.

Существуют риски, которые определены фактами незащищенности системы. В этой ситуации рекомендуется сделать анализ на предмет необходимости в предоставлении неограниченных прав доступа к информации персоналу, который обслуживает ИС. Также рекомендуется регистрировать действия сотрудников, которые имеют расширенные полномочия. Аудит событий дает возможность оперативно устанавливать меру ответственности конкретного сотрудника за выполненные действия.

Влияние ИС на аудит

Об ИС, играющих определяющую роль в выполнении бизнес задач компании, необходимо иметь доскональное понимание их возможностей влияния на неотъемлемый риск.

Такое положение определено тем, что имеющиеся неотъемлемые риски, могут оказать влияние на искажение информации. Риски связаны с:

  • разработкой и эксплуатацией ПО;
  • поддержкой системного ПО;
  • обеспечением физической защиты ИС;
  • контролем доступа к корпоративным приложениям.

Риски увеличивают вероятность ошибок в программах, БД и корпоративных файлах.

Отдельное внимание уделяется ситуациям, при которых в компанию интегрируются новые информационные системы. Такая процедура потребует значительных финансовых затрат и должна быть отображена в отчетности компании.

В этой ситуации, в число задач аудита входит анализ результатов интеграции ИС, оценка их эффективности и уровень соответствия по отношению к ожиданиям бизнес-задач компании.

Пожалуй, наиболее сложный и трудоемкий этап аудита - сквозное тестирование интегрированной системы. В задачу аудита входит проверка:

  • соответствия работы системы к поставленным бизнес-задачам компании;
  • корректности данных;
  • оценка уровня автоматизированного контроля согласования документации в ИС.

Кроме этих задач, существует необходимость определения степени автоматизации процессов, для минимизации дополнительных трудовых затрат, которые определены ручным контролем. Процесс тестирования выявляет совершенство системы автоконтроля при некорректных действиях сотрудников. Это позволяет снижать финансовые риски.

Минусы в организации доступов к системе определяются при помощи специализированных аудиторских действий - периодический анализ прав сотрудников и выявление их избыточности. При необходимости доступы ограничиваются или разделяются полномочия между сотрудниками.

Заключительный этап аудита

Проверка пользовательской документация, которая в результате своей неактуальности приводит к значительным снижениям эффективности и производительности сотрудников. Такая документация затрудняет полномерный анализ рисков и ведет к снижению уровня контроля во время управления проектами.