Название: Информационные технологии в банке - Тютюнник А.В

Жанр: Информатика

Рейтинг:

Просмотров: 1392

Технология аудита информационных систем

Рассмотрим технологию аудита информационных систем в "базовом", наиболее простом понимании. Такой подход может быть применим в небольших и средних организациях.

При проведении проверки информационных систем внимание аудиторов, как правило, направлено на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь.

С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:

* отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;

* степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования;

* физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может стать причиной несанкционированных действий;

* масштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более длительного использования;

* достаточность вычислительной мощности технических средств для обработки данных в организации;

* соответствие технической политики бизнес-задачам организации и ее экономическаяэффективность.

В части контроля за программным обеспечением регулярной проверке подлежат:

- лицензионная чистота программного обеспечения, так как помимо юридических проблем при отсутствии лицензий сопровождение программных продуктов производителями не осуществляется и это может привести к серьезным сбоям в их работе;

- логическое разграничение прав доступа к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, что предотвращает несанкционированные действия и ограничивает доступ к конфиденциальной информации;

- порядок внесения изменений в программные продукты, смены версий, санкционированность и проработанность подобных действий, так как именно процесс изменений не только сам по себе несет существенные риски, но и способствует выявлению или обострению смежных проблем;

- система протоколирования всех действий пользователей в информационных системах, предоставляющая возможность оперативного контроля и проведения внутренних расследований;

- надежность системного программного обеспечения и используемой СУБД (системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;

- достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;

- наличие верификации прав доступа (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;

- корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя (расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация);

- корректность справочных данных, используемых при различных расчетах и операциях в информационных системах (курсы валют, процентные ставки, банковские идентификационные коды).

Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:

* общая структура служб ИТ и ее соответствие поставленным задачам;

* существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;

* регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;

* оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;

* технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующих требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ-персонала (при собственной разработке);

* технологии проведения отдельных операций с точки зрения их соответствия регламентам, политике информационной безопасности, удобства и эффективности их автоматизации;

* технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;

* наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий резервной вычислительной площадки и возможности быстрого восстановления данных.

Описанный выше подход является первой практической реакцией на требования дня. При более глубоком анализе проблемы становится очевидно, что следует широко (комплексно) подходить к ее решению. Необходимо дать аудиторам (как внутренним, так и внешним) методологию проверки, содержащую программу аудита, основные критичные циклы, систему оценки, возможность делать не только замечания, но и давать рекомендации по улучшению. Но многие аудиторы не имеют специальных технических знаний и самостоятельно не способны разработать методику проверки ИС. С другой стороны, для минимизации рисков в условиях компьютерной обработки данных необходимо не только проводить проверку, аудит ИС, но и правильно построить управление ими, внедрить эффективную систему внутреннего контроля. Что же делать в этой ситуации? К счастью, решение существует - это уже упоминавшийся СоblТ.

Нами были приведены общая схема описанных областей, их составляющие и система взаимодействия, которая в методологии СоblТ называется "золотое правило".

По каждой из областей эта методология содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контроля, то есть все то, что мы уже отмечали и что так необходимо с точки зрения аудита в условиях компьютерной обработки данных. Методология СоblТ представляет собой набор из нескольких книг: руководство по аудиту, руководство для менеджмента, контрольные процедуры, руководство по внедрению.

Однако следует отметить, что внедрение подобной методологии является сложной задачей и не всегда может быть осуществлено без посторонней консалтинговой помощи. Это связано с тем, что в процессе внедрения необходимо оценить последовательность действий и сформулировать систему приоритетов. Также часто необходим практический опыт организации подобных процессов в других организациях.

Широкое использование информационных технологий в современной организации трансформирует задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. Это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции и подталкивает организации на использование передовых международных подходов в области аудита в условиях компьютерной обработки данных.