Известно, что зачастую внедренные на предприятии информационные технологии с самого начала остаются или становятся со временем "тайной за семью печатями" и для руководителей компании, и для сотрудников, и особенно для сторонних, но отнюдь не менее заинтересованных лиц - клиентов, инвесторов, партнеров. Конечно же, это не прибавляет доверия к компании, не гарантирует безопасности ее бизнеса, не способствует привлечению клиентов и инвесторов. ИТ-аудит - один из механизмов, позволяющих "пролить свет" на истинное положение дел в компании, оптимизировать работу информационных систем и, следовательно, бизнес в целом.

Основная цель IT аудита -- это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.

Мы предлагаем провести в Вашей компании IT аудит, который может состоять из следующих работ:

Для определения состава работ IT аудита, сроков проведения и стоимости работ рекомендуется провести IT-диагностику. Диагностика проводится в течение 3-5ти рабочих дней. В ходе диагностики собирается информация, необходимая для выявления ключевых проблем в области IT. На основании этой информации разрабатываются детальные предложения о проведении IT аудита в компании.

Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.

В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.

Аудит ИС направлен на достижение следующих целей:

• Сокращение затрат на сопровождение и развитие IT-инфраструктуры
• Сокращение затрат на выполнение автоматизируемых бизнес-операций
• Повышение эффективности работы ИС
• Повышение эффективности вложений в ИС компании

В рамках аудита ИС выполняются следующие работы:

• Анализ соотсветсвия возможностей и стратегии ИС стратегии компании, бизнес-целям и бизнес-процессам
• Анализ существующих IT-сервисов и поддерживающих их информационных систем (программных продуктов)
• Определение проблемных мест существующей IT-инфраструктуры:
  • уровень соответствия информационной системы бизнес-требованиям
  • стоимость сопровождения и развития ИС
  • соответствие IT-процессов стандартам ISO 9000
  • уровень обеспечения информационной безопасности
• Выработка рекомендаций по улучшению IT-инфраструктуры:
  • оценка стоимости выполнения каждой рекомендации;
  • план выполнения рекомендаций.
  • рекомендации по реинжинирингу IT-инфраструктуры.

В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.

В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.

Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.

Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.

Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.

Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.

На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.

Возможности дальнейшего сотрудничества

Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:

• Разработка IT стратегии
• Разработка Концепции информационной системы, в том числе разработка экономического обоснования оптимизации/развития IT
• Оптимизация/развитие информационной системы (ИС), включающая в себя:
  • Разработка Технического задания на доработку/создание существующих/ недостающих подсистем/модулей ИС
  • Выбор программных систем (вендоров) для КИС
  • Организация и управление проектом оптимизации ИС
  • Разработка методической/сопроводительной документации
  • Разработка/внедрение доработанных/новых подсистем/модулей ИС
  • Подготовка и обучение персонала. Консультации персонала
• Мониторинг и сопровождение эксплуатации ИС

Введение

Автоматизированные информационные технологии в аудиторской деятельности

Программное обеспечение информационных технологий аудиторской деятельности

Заключение

Список литературы

Введение

Реформирование российской экономики обусловило необходимость создания и развития новых экономических институтов, регулирующих взаимоотношения различных субъектов предпринимательской деятельности, среди которых достойное место должен занять институт аудита, являющийся неотъемлемой частью рыночных отношений. Опыт становления и развития российского аудита показал невозможность прямого переноса методологии развитых капиталистических стран на реорганизуемую экономику постсоветского периода. Поэтому в настоящее время идет активная работа над созданием концепции развития аудита и в целом аудиторской деятельности для условий России.

Основными целями создания данной концепции является построение модели функционирования аудита, адекватной потребностям российской экономики, совершенствование форм и методов проведения аудиторских проверок с учетом развития аудита в России и требований международных стандартов по бухгалтерскому учету и аудиту.

В современных условиях становление аудита и в целом аудиторской деятельности должно быть, прежде всего, направлено на реализацию и усиление контрольной функции аудита, что может быть достигнуто только в результате перехода от модели подтверждающего к модели системно-ориентированного аудита. Такой подход требует активного применения средств и методов научного познания, и особенно метода моделирования, использующего мощные средства современной математики и информационных технологий. Информационное моделирование позволит изучать особенности, свойства, взаимосвязи аудиторской деятельности, тенденции ее развития в России и за рубежом. Информационно-математическое моделирование аудиторской деятельности должно стать основой процесса построения модели функционирования российского аудита.

Задачи компьютерной информационной системы аудиторской деятельности

В практике проектирования компьютерной информационной системы аудиторской деятельности (КИС АД) прослеживаются два принципиально различающихся подхода к их созданию.

1. Использование набора тестов (рабочих таблиц), ориентированных на ввод констатирующей информации о соблюдении тех или иных правил бухгалтерского учета. При этом бухгалтерская информация клиента полностью или частично игнорируется. Этот путь может привести к существенному риску пропуска ошибок, поэтому более перспективен второй подход.

2. Ориентирование на первичную информацию клиента, в которой отражены хозяйственные операции на синтетическом и аналитическом уровне. В этом случае требуются существенные затраты времени на ввод данных клиента.

В рамках второго подхода возможны два способа создания КИС АД:

1)система компьютеризации аудита по этапам;

2)система компьютеризации аудита по комплексам задач.

Система компьютеризации аудита по этапампредполагает использование сетевой архитектуры и хранение всех данных в единой базе, к которой пользователи системы должны иметь авторизованный доступ соответствующего уровня. Пользователям предоставляют разные права по работе с системой, которые в простом варианте делятся на два уровня: руководитель проверки и аудиторы. Вся информация, записанная в базу данных, должна быть доступна одновременно всем членам аудиторской группы.

Выделяются три этапа технологии работы аудитора в условиях КИС АД:

1) подготовительный этап;

2) проведение проверки;

3) завершающий этап.

На подготовительном этапеизучается и записывается в базу данных информация о клиенте, данные главной книги, показатели бухгалтерской отчетности и другая информация. Изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица определяется используемой им системой компьютерной обработки данных (КОД).

При проведении аудита в системе КОД сохраняются цель и основные подходы к определению методов проведения аудита. Однако КОД влияет на изучение аудитором системы бухгалтерского учета и внутреннего контроля аудируемого лица. Это вызвано тем, что источниками информации для аудитора выступают учетные документы на машиночитаемом носителе, в памяти компьютера находится постоянная нормативно-справочная информация, применяется автоматизированная форма бухгалтерского учета.

Работая в среде КОД, аудитор изучает организационную форму обработки данных, форму бухгалтерского учета и его автоматизированные разделы, применение локального или сетевого варианта обработки данных, обеспечение архивирования и хранения данных. Аудитор должен также описать техническое, программное, технологическое обеспечение КОД. Он оценивает возможности компьютерной системы с точки зрения ее гибкого реагирования на изменения хозяйственного законодательства, формирования управленческой отчетности, проведения аналитических процедур, а также степени квалификации учетного персонала в области информационных технологий.

В ходе проведения аудита системы КОД клиента аудитору необходимо осуществить следующие задачи

1.Необходимо ознакомиться с организационной формой обработки данных и уровнем автоматизации управленческих задач, в том числе задач бухгалтерского учета. На малых предприятиях, где обработка данных выполняется одним бухгалтером, программное обеспечение бухгалтерского учета и информационная база сосредоточены на одном компьютере. При численности бухгалтерии более одного человека речь идет о многопользовательских системах, реализующих работу нескольких пользователей с информационной базой учета. Аудитор должен разбираться в основных отличиях этих технологий, так как это влияет на определяемые им процедуры проверки и риск проводимого аудита.

2.Аудитор должен дать оценку правильности выбора задач автоматизации и высказать мнение о задачах, участках учета, работе подразделений, где применение компьютерной технологии обработки данных даст наибольший эффект. В первую очередь подлежат автоматизации работы наиболее перегруженных подразделений, которые тормозят работу предприятия. Прежде всего следует автоматизировать учет и анализ дебиторской задолженности.

3.В ходе проверки аудитору следует изучить и оценить систему документооборота организации: порядок формирования, регистрации, хранения, обработки документов и трансформации первичных документов в систему записей на бухгалтерских счетах. Необходимо выяснить места возникновения первичной информации и степень ее сбора и регистрации. Для этого аудитор должен ознакомиться со схемой расположения автоматизированных рабочих мест управленческих работников на предприятии.

4.Аудитор должен дать характеристику способам ввода данных и формированию записей о хозяйственных операциях. Автоматизированная и автоматическая генерация бухгалтерских записей и проводок на основе типовых операций и электронных форм документов позволяет избежать многих ошибок, которые неизбежны при ручном вводе и формировании проводок. Ошибка также может содержаться в типовой проводке или в электронных формах, которые необходимо проверить. Следует изучить организацию хранения информации о хозяйственных операциях и возможность быстрого получения информации о хозяйственных операциях, документах и вывода ее на печать.

Обязательной аудиторской процедурой является тестирование вводимых данных в систему КОД бухгалтерского учета. Эта проце дура предполагает тестирование полноты документов в "бумажном" варианте и тестирование соответствия бумажных документов их электронным копиям, введенным в систему. Отсутствие этого соответствия является сигналом того, что отчетность является недостоверной.

6.Аудитор должен удостовериться в обеспечении сохранности данных информационной системы, в простоте доступа к данным и ограничении несанкционированного доступа к ним.

7.Особое внимание уделяется проверке надежности средств внутреннего контроля в среде КОД. Аудитор обязан выявить слабые места контроля систем компьютерного учета: рассмотреть аппаратные и программные средства контроля, организационные мероприятия (архивирование данных, проверка на вирус). Ему необходимо проанализировать способы организации контроля полноты и правильности ввода первичной информации в информационную базу, контроля, обработки и выбора данных, дать оценку их достаточности и эффективности. В многопользовательских сетевых системах объектом внимания должен быть процесс передачи данных.

8.Аудитор должен тщательно проверить правильность алгоритмов расчетов.

Ошибка, заложенная в алгоритм расчета, который многократно применяется к повторяющимся хозяйственным операциям, может исказить результат хозяйственной деятельности.

После осуществления указанных задач на основе полученной информации проводятся предварительный финансовый анализ, оценка уровня существенности и аудиторского риска, разрабатывается общий план аудита и распределяются обязанности между членами аудиторской группы.

При определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием КОД, следует руководствоваться правилом (стандартом) "Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной системы".

Планирование аудита в системе КОД осуществляется согласно правилу (стандарту) "Планирование аудита".

При планировании проведения аудита с применением компьютеров нужно учесть следующее: обеспеченность аудиторской организации оборудованием, необходимым как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров; дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом; факт привлечения к работе экспертов в области информационных технологий; знания, опыт и квалификацию аудитора в области информационных технологий; целесообразность использования тестов, производимых без использования компьютера; эффективность использования компьютера при проведении аудита. Составляя общий план и программу аудита, следует принимать во внимание степень автоматизации обработки учетной информации, применяемые экономическим субъектом информационные технологии.

Обобщены и систематизированы взгляды на аудит информационных систем. В результате проведенного исследования автор обозначил свою точку зрения на возможности применения указанного направления аудита при перманентном влиянии внешнего окружения на экономические субъекты, раскрыл его существенные преимущества для системы управления этими субъектами.

Введение

Современный этап формирования и развития мировой рыночной системы характеризуется высокой неопределенностью и все возрастающей динамикой постоянных изменений в бизнес-среде экономических субъектов. Глобальные изменения структуры указанной системы в XXI в. обусловлены изменением роли высокотехнологического сектора экономики и ее переходом к информационному обществу. Экономические субъекты в этих условиях становятся более сложными и динамичными бизнес-системами. При этом усложняется как сама структура управления ими, так и обработка и передача надлежащей информации, которая становится существенной частью их бизнес-процессов.

Аудит информационных систем на современном этапе

Исследования зарубежных и российских ученых показывают, что в современных условиях конкурентными преимуществами обладают те бизнес-системы, которые могут быстро создавать и доставлять результаты своего бизнеса (продукцию, товары, работы или услуги), соответствующие определенной потребности каждого уникального потребителя, а не абстрактным требованиям обобщенного рынка. Способность производителей совмещать индивидуальные потребительские предпочтения с производством соответствующих результатов их бизнеса и адекватной системой управления является решающим фактором эффективного развития этих систем.
В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований бизнес-среды изменяются требования, предъявляемые к аппаратным средствам, программным продуктам и ИТ-сервисам (ИТ-услугам), что приводит к добавлению в их поддерживающую информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом их возрастающие сложность и разнородность оказывают влияние на управляемость всей информационной системой субъектов, стабильность и эффективность ее работы .
В то же время потребность в уверенности относительно полезности, которой обладают информационные системы, управление связанными с ними рисками и растущие требования к контролю над информацией в настоящее время считаются ключевыми элементами корпоративного управления. Ценность, риск и контроль определяют суть корпоративного управления не только бизнес-системой в целом, но и ее информационной системой в частности, при этом не только в текущем временном периоде, но и в долгосрочной перспективе.
В свою очередь, исследования показывают, что наиболее совершенным, многофункциональным и высокопрофессиональным инструментарием исследования существующих и вероятных рисков, а также разносторонних проблемных ситуаций, возникающих в ходе функционирования той или иной бизнес-системы, является аудит. Аудит в современных условиях становится практически незаменимым при осуществлении разностороннего исследования и оценки информации, принятии управленческих решений, прогнозировании развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управления этими системами. При этом следует учитывать, что информационная система, являясь по своей сути моделью бизнес-системы, в которой она функционирует, - весьма сложное и многофункциональное образование, требующее особого, кропотливого и комплексного, подхода к ее исследованию. Поэтому аудит в этих условиях должен быть не аудитом в традиционном смысле (аудит бухгалтерской (финансовой) отчетности), а аудитом бизнеса, в частности его информационной модели (информационной системы).
Действительно, нетрудно понять, что в этом случае аудит не должен быть только констатирующим и подтверждающим уже свершившиеся события и факты, он должен быть направлен на выработку управленческих рекомендаций по оптимизации развития бизнес-системы в целом и ее информационной системы в частности.
Информационные технологии, как уже отмечалось, с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы и при этом не всегда предоставляют адекватный затратам эффект. Однако информационные технологии в современных условиях жизненно необходимы экономическим субъектам, а информационная система, объединяющая все информационные технологии, персонал, ответственный за их развитие, их обслуживание, является неотъемлемой и важнейшей частью любой бизнес-системы, стремящейся конкурировать в современном мире. В то же время все позитивные аспекты, связанные с информационными системами, сопровождаются абсолютно новыми рисками для экономических субъектов, что требует дополнительного контроля со стороны высшего звена системы управления этими субъектами. В связи с этим возрастает роль аудита информационных систем на всех уровнях и этапах их развития. Аудит позволяет не только оперативно получать систематизированную и достоверную информацию для оценки текущего состояния информационных систем, но и принимать адекватные решения по управлению этими системами и их развитию.
Аудит информационных систем является более сложным направлением аудиторского исследования по сравнению с традиционным аудитом бухгалтерской (финансовой) отчетности. Для его осуществления требуется приложить значительные усилия по созданию соответствующих условий. При этом первостепенной задачей является формирование в современном обществе соответствующего понимания важности и необходимости его регулярного применения для повышения эффективности деятельности любого экономического субъекта независимо от формы его собственности.

Методические подходы к аудиту информационных систем

Согласно требованиям Международного стандарта "Контрольные объекты для информационных и смежных технологий" (Control Objectives for Information and Related Technology - Cobit) процедуры аудита информационных систем включают в себя четыре последовательных этапа:
- идентификация и документирование;
- оценка механизмов управления;
- тест соответствия;
- детальное тестирование.
На этапе идентификации и документирования осуществляются документирование и идентификация существующих механизмов управления посредством интервьюирования руководящего звена системы управления экономическим субъектом, отдельных компетентных ИТ-специалистов, специалистов по управлению рисками и основных пользователей ИТ-сервисов с целью получения или уточнения знаний относительно:
- требований бизнес-системы и связанных с ней рисков;
- организационной структуры;
- существующей системы внутреннего контроля;
- распределения ролей и ответственности;
- политик и процедур, имеющих отношение к оценке рисков, страхования остаточных рисков (риск-аппетита) и пр.;
- требований нормативной базы;
- существующих механизмов управления;
- существующей отчетности.
Аудиторские процедуры для получения указанных знаний, как правило, относятся к процедурам оценки значимых для аудируемого субъекта бизнес-рисков, так как часть этой информации может быть использована аудитором в качестве аудиторских доказательств оценки рисков принятия неадекватных управленческих решений. Кроме того, при выполнении процедур оценки бизнес-рисков аудитор может получить аудиторские доказательства в отношении соответствующих утверждений относительно эффективности средств контроля функционирования информационной системы аудируемого субъекта, даже если эти процедуры не были заранее спланированы как процедуры исследования по существу или как тесты средств контроля. Аудитор может использовать процедуры исследования по существу или тесты средств контроля одновременно с процедурами по оценке бизнес-рисков, поскольку такое сочетание является наиболее эффективным.
Мировая практика допускает выполнение не всех перечисленных процедур одновременно, однако все процедуры по оценке бизнес-рисков выполняются аудитором при получении надлежащего количества и качества требуемых знаний.
При выполнении аналитических процедур оценки бизнес-рисков аудитору необходимо разрабатывать прогнозы о вероятных взаимосвязях, существование которых ожидается.
В свою очередь, наблюдение и инспектирование могут дополнить опросы лиц, наделенных руководящими полномочиями, и ИТ-персонала, а также предоставить релевантную информацию о бизнес-системе, ее внутреннем потенциале и ее бизнес-среде.
Если аудитор собирается использовать информацию о бизнес-системе и ее бизнес-среде, полученную при предыдущих аудиторских исследованиях и проверках, то он должен определить, имели ли место изменения, которые могут повлиять на релевантность и надлежащий характер такой информации и существенным образом повлиять на текущие аудиторские исследования.
В современных условиях система внутреннего контроля разрабатывается и функционирует с целью выявления бизнес- и ИТ-рисков, препятствующих достижению любой из целей функционирующей бизнес-системы.
При аудиторском исследовании информационной системы как компонента системы внутреннего контроля особое место занимает анализ средств контроля, связанных с надежностью защиты активов.
Получение аудитором представления о системе внутреннего контроля предполагает осуществление оценки организации средств контроля и определение их фактического применения. Деятельность по контролю, организованная ненадлежащим образом, может представлять собой существенный недостаток системы внутреннего контроля аудируемого субъекта. В этом случае аудитору следует рассмотреть вопрос о необходимости подготовки и передачи сообщения об этом лицам, наделенным руководящими полномочиями этого субъекта.
Процедуры по оценке бизнес- и ИТ-рисков с целью получения аудиторских доказательств в отношении организации и применения надлежащих средств контроля могут включать:
- опросы ИТ-сотрудников субъекта;
- наблюдение за применением определенных средств контроля;
- инспектирование документации и отчетов;
- отслеживание операций в информационной системе.
Однако следует помнить, что получения аудитором представления о средствах контроля недостаточно, чтобы заменить собой тестирование их эффективности, если только не существует автоматизированный процесс, который обеспечивает последовательное применение этих средств.
Выполнение аудитором процедур, направленных на выявление применения аудируемым субъектом последовательного автоматизированного контроля, может являться тестом эффективности такого средства контроля.
Несмотря на то что современным информационным системам присущи автоматизированные информационные технологии, даже при их всеобъемлющем использовании в них всегда применяются ручные элементы. Баланс между ручными и автоматизированными элементами изменчив. Поэтому аудитор должен учитывать и оценивать указанные обстоятельства при оценке бизнес- и ИТ-рисков, а также применении аудиторских процедур, основанных на такой оценке.
Сами средства контроля в современной информационной системе обычно представляют собой сочетание (некий синтез) автоматизированных (например, средств контроля, встроенных в программные продукты) и ручных средств. Сочетание ручных и автоматизированных средств контроля зависит, как правило, от характера и сложности использования субъектом информационных технологий .
Как уже отмечалось, современные информационные технологии накладывают определенные риски на всю систему внутреннего контроля любого экономического субъекта. К ним следует отнести:
- неточность обработки данных применяемыми программными продуктами;
- несанкционированный доступ к данным, что может привести к их уничтожению или ненадлежащему изменению, включая отражение несанкционированных или неточных операций;
- вероятность приобретения ИТ-сотрудниками прав доступа, превышающих их полномочия, необходимые для выполнения их обязанностей, что тем самым нарушает распределение этих обязанностей;
- несанкционированные изменения в данных основного файла;
- несанкционированные изменения в системах или программных продуктах;
- ненадлежащее ручное вмешательство;
- потенциальные потери данных или невозможность доступа к ним.
В то же время ручные элементы системы внутреннего контроля являются наиболее приемлемыми в случаях, если требуются суждение и некая доля осторожности, как, например, в случаях, когда возникают:
- крупные, необычные или единичные операции;
- обстоятельства, при которых трудно определить, обнаружить или предсказать вероятность ошибок;
- ситуации, требующие незамедлительной реакции со стороны системы внутреннего контроля, которые выходят за рамки возможностей существующих автоматизированных средств контроля.
Аудитору следует помнить, что ручные средства контроля менее надежны, чем автоматизированные, так как их легче обойти, проигнорировать и они более подвержены элементарным ошибкам, сопряженным с человеческим фактором.
Система внутреннего контроля независимо от того, насколько хорошо она организована и функционирует, предоставляет только разумную уверенность в достижении целей экономического субъекта. На вероятность достижения такой уверенности влияет целый ряд ограничений, присущих системе внутреннего контроля.
В свою очередь, при исследовании существующих механизмов управления аудитор прежде всего должен оценить контрольную среду системы внутреннего контроля, которая включает в себя не только функции по управлению, но и осведомленность и действия лиц, наделенных руководящими полномочиями, и руководства аудируемого субъекта в отношении внутреннего контроля и его важности для этого субъекта. Контрольная среда формирует общую атмосферу в экономическом субъекте, влияющую на осознание бизнес- и ИТ-сотрудниками необходимости внутреннего контроля.
При оценке организации контрольной среды и определении надлежащего ее внедрения аудитор должен исследовать, как руководящее звено системы управления аудируемым субъектом создало и поддерживает корпоративную культуру этого субъекта и установило надлежащие средства контроля.
Особое место при аудите информационных систем занимает исследование того, как система управления аудируемым субъектом реагирует на риски, сопряженные с информационной системой этого субъекта и применяемыми в ней информационными технологиями.
Как уже отмечалось, использование различных информационных технологий (ручных, автоматизированных) обусловливает способ осуществления действий по контролю. Аудитор должен всесторонне изучить, адекватно ли аудируемый субъект реагирует на ИТ-риски посредством установления эффективных средств контроля в информационных технологиях и прикладных программных продуктах.
Аудитор может признать средства контроля информационной системы эффективными, если они поддерживают целостность информации и безопасность данных, которые эта система обрабатывает.
Общие средства контроля в информационных системах представляют собой политику и процедуры, связанные с прикладными программными продуктами и поддерживающие эффективное функционирование средств контроля над ними, содействуя надлежащей работе этих систем.
Стандарт Cobit предполагает, что, для того чтобы модель управления работала надлежащим образом, необходимо четко распределить ответственность за бизнес- и ИТ-процессы, установив при этом строгую подотчетность каждого должностного лица. В противном случае не будет осуществляться обмен управляющей информацией и, как следствие, не последуют корректирующие действия. Кроме того, стандарт Cobit требует оценки соблюдения базовых информационных критериев, так как эффективность управляющей информации (ее актуальность, своевременность и пригодность, а также ее целостность) служит основой функционирования системы управления ИТ-процессами. И наконец, аудитору следует учитывать разнообразие стандартов оценки эффективности ИТ-процессов (от высокоуровневых планов и стратегий до индикаторов производительности и ключевых факторов успеха) .
С этой целью используются методы экспертных оценок, которые позволяют определить, для каких механизмов управления на следующем этапе аудита по существу необходимо провести тестирование их соответствия установленным процедурам.
Для получения гарантий пригодности существующих у аудируемого субъекта механизмов управления для решения задач управления аудитор должен провести тесты соответствия. Тестирование осуществляется посредством получения прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за исследуемый период. После завершения указанных этапов аудитор формулирует выводы и управленческие рекомендации.

Заключение

Подводя итог, следует отметить, что сложный и многогранный характер предметной области аудита информационных систем обусловливает необходимость применения различных предметных технологий и интегрирования в аудиторскую деятельность элементов многих наук, в том числе и фундаментальных. Причиной этого прежде всего является непрерывное развитие различных экономических процессов, протекающих в бизнесе современных экономических субъектов, требующих применения более совершенных научных подходов к их изучению и оценке.
Если учесть, что информационная система, по своей сути являясь моделью бизнес-системы, в которой она функционирует, - весьма сложное и многофункциональное образование, требующее комплексного подхода к ее исследованию, то, как следствие, аудит в этих условиях должен быть не аудитом в традиционном смысле (аудит финансовой отчетности), а аудитом бизнеса, в частности аудитом его (бизнеса) модели - информационной системы. Поэтому от аудиторов и научного сообщества в этой области знаний в настоящее время требуется кропотливая и разносторонняя исследовательская работа, направленная на формирование методологического аппарата и методического инструментария для практически нового в российской действительности направления аудиторской деятельности.

Литература

1. Андерсен Бьерн. Бизнес-процессы. Инструменты совершенствования. 2-е изд. М.: РИА "Стандарты и качество", 2004. 272 с.
2. Берн Р.Дж. Эффективное использование результатов маркетинговых исследований: Как принимать и осуществлять на практике наиболее оптимальные решения / Пер. с англ. Днепропетровск: Баланс Бизнес Букс, 2005. 272 с.
3. Булыга Р.П., Мельник М.В. Аудит бизнеса. Практика и проблемы развития: Монография / Под ред. Р.П. Булыги. М.: ЮНИТИ-ДАНА, 2013. 263 с.
4. Джордж С., Ваймарскирх А. Всеобщее управление качеством: стратегии и технологии, применяемые сегодня в самых успешных компаниях (TQM). СПб.: Виктория-плюс, 2002. 256 с.
5. Ситнов А.А. Особенности аудита информационных инфраструктур // Аудитор. 2011. N 11 (201). С. 26 - 38.
6. Ситнов А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. 2012. N 6. С. 44 - 56.
7. Ситнов А.А. Аудит состояния информационной инфраструктуры // Аудитор. 2012. N 12 (214). С. 16 - 21.
8. Ситнов А.А., Уринцов А.И. Аудит информационных систем: Монография для магистров. М.: ЮНИТИ-ДАНА, 2014. 239 с.

В настоящее время информационные технологии оказывают существенное влияние на производственные процессы предприятий. Это очевидно. Почему же в одних компаниях информационные системы обеспечивают оптимальную организацию процессов производства, повышают эффективность управления, осуществляют планирование и прогнозирование, анализ рисков и т. д., а в других компьютер все еще остается усложненным калькулятором и инструментом подготовки документов?

Проблемы анализа эффективности использования ИТ второй группы предприятий представляют определенный интерес, поэтому есть резон исследовать их. К этой группе относятся крупные государственные учреждения, министерства, ведомства - все те организации, ошибки в развитии информационных систем которых не имеют на первый взгляд критических последствий, в отличие, скажем, от коммерческих учреждений, чьи позиции на рынке напрямую связаны с эффективным управлением.

Почему вся активность в области ИТ в данной группе носит не регулярный, а периодический характер, в значительной степени зависящий от волевых решений руководства («срочно внедряем новую систему!»), а ИТ-подразделение оторвано от производственных потребностей («мы сами лучше знаем, что надо нашим пользователям»)? Собственно, ответ содержится в вопросе. Потому что ИТ построены таким образом, что не подразумевают соответствия бизнес-потребностям предприятия, скорее всего наследуя схему вычислительных центров советского периода. Все новые процессы в данной области сводятся к приобретению следующего поколения рабочих станций, а корпоративная сеть всего лишь изменила способ доставки информации: вместо дискет используются каталоги совместного доступа, в лучшем случае электронная почта. Возможно, ИТ-подразделение производит закупку мощных серверов, систем управления базами данных и т. д., но контролирует ли руководство инвестиции и соотносит их с достигнутыми результатами или приобретения осуществляются только потому, что так надо, что у соседей такое уже закуплено?

Так как же произвести кардинальную перестройку ИТ и с чего начать, чтобы этот процесс происходил не революционно, а эволюционно, чтобы его последствия не сказались отрицательно на производстве и вместе с тем завершен он был в разумные сроки? Решение смогут предложить только профессионалы, а основным инструментом в выработке решения будет аудит информационных систем и технологий предприятия.

По поводу аудита информационных систем (далее аудит) в мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (Information Systems and Control Associations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (Control Objectives for Information and related Technologies - Задачи управления для информационных и связанных с ними технологий). Собственно же аудит заключается в:

1) изучении текущего состояния и планов развития информационных технологий на конкретном предприятии;

2) сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области);

Казалось бы, все просто - начать и закончить, но на пути постоянно возникают сложности.

Первая и самая главная - стоимость работ. Действительно, трудно предположить, что будет дешевой работа группы высокопрофессиональных ИТ-специалистов, которые проведут:

• анкетирование специалистов по отдельным направлениям;
• интервью с ключевыми работниками;
• изучение имеющейся нормативной документации, организационной структуры, принципов управления ИТ;
• выборочное или массовое тестирование аппаратного обеспечения, производительности сети;
• анализ накопленной информации;
• выработку соответствующих экспертных оценок и рекомендаций;
• подготовку развернутого отчета по результатам работ;

Соответственно, когда руководство предприятия-заказчика плохо представляет себе конкретные результаты работ, платить значительные суммы никто не захочет. Дополнительный негатив вносят специалисты по аудиту, которые формируют отчет в виде типового рапорта, слепо следуя имеющимся методикам. Приведем пример.

• Нет классификации данных - необходимо произвести классификацию данных;
• отсутствует политика NN - следует разработать политику NN;
• не произведена оценка рисков - провести оценку рисков.

В рассматриваемой группе предприятий с высокой степенью вероятности будет отсутствовать большинство из требуемых стандартами пунктов. При получении отчета с простой констатацией отсутствия и рекомендациями о том, что необходима дальнейшая работа (без детальной приоритизации, развернутого плана действий, проектов требуемых нормативов, выписок из используемых стандартов и методик), у руководителя организации сложится весьма негативное мнение об аудите. Если окажется, что итоговый отчет представлен в виде двух-трех томов по 500 страниц, основную часть которых занимают рассуждения о преимуществе трехзвенной архитектуры перед файл-сервером и о перспективах развития беспроводных технологий, то, скорее всего, отчет окажется в пыльном шкафу, изученным и использованным процентов на десять.

Пример из жизни. Эксперт со стороны

Организация с сетью в 50 рабочих станций стала испытывать затруднения с производительностью сети. Решение, предлагаемое начальником ИТ-подразделения, сводилось к приобретению более производительных компьютеров и активного сетевого оборудования. Руководитель предприятия пригласил стороннего эксперта в области сетевых технологий, который запустил монитор производительности и ряд других сетевых анализаторов на трех рабочих станциях, потратив на это три дня по 3-4 часа. В результате он порекомендовал переставить два сервера на другие сетевые сегменты и перенести несколько сетевых служб на различные серверы. Сеть заработала бесперебойно. Работа стоила около 150 долл. Начальник ИТ-подразделения вскоре был уволен.

Эту работу нельзя назвать полноценным аудитом информационной системы, но его частью - можно, поскольку она имела четко сформулированную цель и соответствующий результат.

Таким образом, для предприятия, собирающегося производить аудит, необходимо четко представлять требуемые результаты и формулировать их аудиторам, внося соответствующим образом в техническое задание на проведение работ.

Если учесть, что типовые случаи проведения аудита информационных систем - это качественное изменение статуса компании (подготовка к сертификации ISO, выход на международный рынок и т. д., но это не в текущей теме), внедрение новой крупной информационной системы либо плановая проверка, то и его цели должны быть сформулированы соответственно. В данном случае это могут быть:

• проект реорганизации ИТ-службы;
• разработка необходимых нормативов (политик, правил, корпоративных стандартов);
• корректировка планов развития, в том числе приобретения техники, проектирования сети, регламентов гарантийного и сервисного обслуживания;
• рекомендации по процессу внедрения/эксплуатации конкретной информационной системы;
• консалтинг по организации/реорганизации службы информационной безопасности.

Причем консалтинг - это отдельное направление, но во многих организациях указанной группы до сих пор считают, что информационной безопасностью должен заниматься Первый отдел (отдел режима), а термины «аварийный план», «план по продолжению деятельности предприятия при сбоях и катастрофах» остаются пустым звуком. Это при том, что многие такие организации играют существенную роль в отраслевой или даже государственной инфраструктуре. Видимо, подобная беспечность связана с отсутствием в прошлом реальных угроз, обусловленных тем, что такие организации почти не работали в публичных сетях, Internet. Однако вряд ли современная тенденция развития корпоративных сетей и информационных систем будет способствовать тому, что такая ситуация продлится долго.

Вторая сложность - нежелание пускать в святая святых своей организации посторонних людей, которые будут серьезно ее изучать, в том числе вскрывать недостатки. Обычный аргумент в этом случае у директора по ИТ: «Я проработал здесь 20 лет, еще с ЕСок начинал, а вы тут меня учить будете», а у руководителя предприятия: «Наши специалисты и так все знают лучше вас».

Обе эти позиции необходимо рассмотреть отдельно.

Давняя работа в области информационных технологий, к сожалению, не подразумевает высокий уровень профессионализма. Заблуждения по поводу информационной безопасности были указаны выше. Кроме того, руководитель старой закалки может с удивлением узнать, что ИТ-служба является вспомогательной по отношению к производству. Для него также может стать откровением, что самостоятельно решать, разрабатывать ли, приобретать ли, внедрять что-либо, неправильно. Ему трудно согласиться с тем, что он, замотанный постоянными производственными совещаниями и ворохом неформализованных заявок от пользователей на срочные требования автоматизации очередного отчета, пропустил многие современные стандарты ИТ, к примеру Help Desk, контроль качества разработок и изменений в конфигурациях, ведение статистики аварий и сбоев, строгую регламентацию процедур резервного копирования, и что набор ИТ-нормативов должен занимать (в твердых копиях) минимум одну полку.

На первый взгляд такой ИТ-директор не будет заинтересован в проведении аудита. Однако в результатах аудита можно найти немало полезного, нужно только рассматривать аудитора не как врага, а как партнера. Если такой директор по ИТ действительно болеет душой за свое предприятие, у него наверняка накопилось немало идей, выслушивать которые руководитель предприятия уже не хочет. В этом случае, обсудив их с аудитором, определив реально работающие и соответствующие стандартам, можно включить их в итоговый отчет.

С другой стороны, развитие информационной инфраструктуры в свете рекомендаций, выработанных аудиторами, приведет к тому, что управлять информационными системами станет проще, а само значение информационных технологий для предприятия повысится, что определит и рост статуса ИТ-директора на предприятии. Как минимум это выразится в росте ИТ-бюджета, при условии, конечно, что вложения в эту область принесут организации реальную выгоду.

Позиция руководителя предприятия, указанная выше, тоже имеет свою слабую сторону, ведь случается, что директор по ИТ (как впрочем, и любой руководитель подразделения предприятия) скрывает ошибки или проблемы в работе своего направления. Учитывая, что, скорее всего, других квалифицированных ИТ-специалистов, кроме подчиненных ИТ-директора, на предприятии нет, единственным альтернативным источником информации о состоянии дел может стать независимый аудитор.

Пример из жизни. Не забываем о собственных ресурсах

Процесс аудита на крупном предприятии проходил одновременно с обычными работами ИТ-подразделения, в том числе с разработкой и подготовкой к внедрению новой информационной системы в одном из специфических подразделений компании (подразделение П). В ходе обследования аудиторы выяснили, что в подразделении П присутствует собственный разработчик, который был автором предыдущей версии информационной системы для своего подразделения и осуществлял его поддержку и сопровождение до настоящего времени. Однако при разработке новой версии информационной системы он не был востребован, несмотря на то что остальные разработчики не имели соответствующего опыта по работе подразделения П. Более того, по его оценке, техническое задание на новую версию имело ряд критических недоработок, сообщения о которых были проигнорированы ИТ-директором.

Данная ситуация была отражена в отчете аудиторов. К сожалению, о принятых решениях ничего не известно. Однако можно предположить, что, если соответствующая корректировка в процессе разработки не была принята, процесс внедрения системы может столкнуться с определенными трудностями, что повлечет дополнительные расходы.

Кроме отмеченной ситуации, ИТ-служба предприятия обычно загружена текущими задачами и не всегда возможно практически выделить группу специалистов для проведения аудита. Даже если они будут освобождены от своих ежедневных обязанностей приказом по предприятию, с высокой степенью вероятности через некоторое время им придется вернуться к своей работе и процесс аудита будет скомкан или выполнен формально.

Следует принять во внимание и то, что собственные специалисты обычно, выслушав мнение пользователей о производственном процессе, накладывают его на свое представление о том, как это должно быть. Нетрудно догадаться, какое мнение попадет в итоговый отчет.

Добавив сюда нежелание информировать непосредственное начальство об имеющихся недостатках, можно оценить качество полученного результата.

Негативно оценив качество собственного аудита, тем не менее хотелось бы помочь организациям, которые по той или иной причине не могут заказать проведение аудита у независимых экспертов. Оценить текущее состояние информационных систем сможет простой сбор и структурированное представление данных об имеющихся информационных системах, аппаратном обеспечении, структуре сети и т. д. Для этого в рамках данной статьи на сайте www.cio.сайт публикуются опросные листы (анкеты) для подготовки таких данных.

Заполнение анкет и особенно представление их в структурированном электронном виде даст возможность их упрощенной группировки, выборки данных, обнаружения корреляций и т. д., поможет руководителям предприятия и ИТ-службы произвести предварительный анализ состояния собственных информационных технологий и, возможно, принять решение о заказе профессионального аудита информационных систем.

Искандер Конеев - CISSP, руководитель проектов, компания «МЦФЭР-консалтинг», [email protected]

Для оценки текущего состояния информационных систем на сайте публикуются опросные листы (анкеты) по подготовке структурированного представления данных об имеющихся информационных системах, аппаратном обеспечении, структуре сети и т. д. Ниже приводим их содержание и назначение.

1. Список ответственных лиц по различным направлениям ИТ.

   Данная анкета должна быть заполнена в первую очередь. По результатам ее заполнения станет ясно, к кому обращаться с вопросами заполнения остальных анкет. Кроме того, она позволяет выявить, например, направления, за которые не отвечает никто, либо ответственность распределена между сотрудниками, число которых недопустимо велико, а также установить, не сконцентрировано ли слишком много критически важных направлений одних руках.

   Заполнение анкеты должно производиться по фактическому состоянию дел, а не по штатному расписанию, так как специалисты с одной и той же должностью, скажем «системный администратор», могут отвечать за совершенно разные участки работ.

2. Список аппаратного обеспечения.

   В том или ином виде этот список ведется практически в любой организации. Данная анкета позволит структурировать его и проанализировать дополнительную информацию, такую как связь оборудования с поставщиками и качество гарантии по договорам, место единицы оборудования в локальной сети, привязка основного оборудования к периферии и т. д.

3. Структура сети организации (локальной, корпоративной, внешней).

   Анкета позволит провести инвентаризацию и проанализировать принципы организации сети, отдельных сетевых служб и ряд других немаловажных аспектов, таких как учет самостоятельных выходов во внешнее информационное пространство (модемов у пользователей) и оснащение критически важных помещений.

4. Описание отдельных информационных систем.

   Анкету не следует использовать для описания мелких приложений офисного уровня, в частности электронных таблиц, снабженных макросами. Она предназначена для крупных систем масштаба предприятия или группы подразделений, того, что сейчас называют ERP-системами или АСУТП (автоматизированная система управления технологическим процессом).

   Данный опросный лист поможет понять, как организована работа по обеспечению нормального (или оптимального, в зависимости от задачи исследования) функционирования системы.

   Потратив дополнительное время, можно накопить примеры отчетов, вырабатываемых системой, с тем чтобы оценить наличие дублированности и, например, снять часть требований к модификации системы, если они направлены на получение/обработку данных, присутствующих в имеющихся отчетах.

5. Описание данных предприятия.

   Анкета предназначена для общего, принципиального описания наборов данных, которыми владеет предприятие. Она позволяет оценить первичный источник происхождения данных, наличие дублированности данных либо потенциальную возможность возникновения расхождений в сходных данных. Анализ материала может послужить основой для проектирования информационных систем, например, единого хранилища данных, если таковое еще отсутствует на данном предприятии.

6. Описание критически важных параметров предприятия.

   Эта анкета связана с предыдущей (описание данных) и следующей (информационная безопасность) и служит основой для планирования и построения целостной системы информационной безопасности предприятия (если такой системы нет) или материалом для регулярного анализа функционирующей системы безопасности.

   Материал анкеты зможно использовать для построения схемы анализа и управления информационными рисками и на ее основе проводить планирование приобретения или разработки информационных систем или их отдельных элементов.

7. Структура функционирования информационной безопасности.

   Анкета отражает состояние различных аспектов информационной безопасности предприятия - от технических до организационных, в том числе: квалификацию сотрудников, отвечающих за информационную безопасность, а также уже выполненные службой безопасности работы (инвентаризация, классификация, разработка нормативов) и их актуальность.

   При отсутствии на предприятии службы информационной безопасности анкету можно рассматривать как схематичный план основных задач, возлагаемых на эту службу, и использовать при построении службы.

8. Описание нормативных документов предприятия.

   По ряду параметров данная анкета пересекается с другими анкетами, поэтому при ее заполнении можно использовать материал других опросных листов либо заполнять их параллельно, а по завершении сверить общие данные для выявления возможных расхождений и соответствий в определении реальных данных. Анкета рассматривает объем существующего нормативного пространства ИТ предприятия, включая обязанности и квалификацию пользователей и администраторов, отдельные информационные политики, качество поддержки информационных систем, состояние аварийного плана.

9. Описание производственных (бизнес-) функций предприятия.

   На первый взгляд анкета слабо связана собственно с информационными технологиями. Однако именно она позволяет оценить качество покрытия производственных потребностей предприятия автоматизированными (информационными) средствами, что является одной из важных задач аудита информационных систем. Соответственно анкета может использоваться для планирования развития информационных систем предприятия.

10. Описание планируемых к автоматизации задач.

    Анкета составляется для определения нагрузки на подразделение, ответственное за разработку программного обеспечения, либо для формирования планов на приобретение сторонних программных продуктов. Также позволяет выявить наиболее приоритетные задачи для автоматизации (если множество подразделений испытывают потребность в автоматизации отдельного направления) либо дублированности (если одному подразделению необходимо автоматизировать то, что уже сделано в другом).

Работать вместе

Николай Дмитрик

Между директором правовой службы и директором информационной службы много общего: тот и другой не ведут основную деятельность компании, а лишь обеспечивают ее; тот и другой редко являются полноценными членами управленческой команды (отчего, кстати, страдает качество принимаемых решений); деятельность главы юридической службы, как и главного ИТ-специалиста, направлена на обеспечение безопасности и эффективности основной деятельности компании.

С этой точки зрения аудит информационных систем - очень хороший пример. Повысить эффективность информационной системы предприятия означает не просто дать пользователям необходимые им инструменты, а еще и заставить эти инструменты работать.

Задача ИТ-службы - оптимизировать обработку информационных потоков в организации. Задача юристов - оптимизировать права и обязанности в отношениях внутри организации и в отношениях с контрагентами. Юридическая работа не сводится только к тому, чтобы оформить предпринимаемые меры по приглашению аудитора, обновлению информационной системы и соблюсти при этом требования законодательства. Задача юридической службы - закрепить правовыми средствами ту модель общественных отношений в организации, при которой использование, в частности, информационных систем будет проходить оптимальным образом. Иными словами, опосредование отношений на технологическом уровне (построение и развитие информационных систем) должно быть тесно связано с опосредованием отношений правовыми мерами (разработка внутренней юридической документации).

Это означает, что юристы и ИТ-консультанты (как корпоративные, так и сторонние) должны работать вместе с самого начала. Аудит должен касаться не только информационных систем, но также прав и обязанностей сотрудников: должностные инструкции, как и аппаратно-программное обеспечение, должны предоставлять сотруднику ровно тот объем возможностей, который нужен для исполнения им своих обязанностей. Планирование развития сети должно сочетаться с планированием принятия внутренних документов компании, разработкой новых типовых договоров с контрагентами, учитывающих новые возможности информационной системы. Наконец, при обращении к услугам стороннего консультанта в составлении договора с ним должны участвовать как ИТ-специалист, так и юрист. Первый должен поставить задачи, второй - предложить механизмы, обеспечивающие надлежащее выполнение консультантом своих обязанностей, механизмы контроля его деятельности. Не надо забывать, что приглашение сторонних консультантов - это всегда риск для информационной безопасности предприятия: необходимо принять правовые меры для устранения этого риска.

Возможные меры здесь достаточно разнообразны: установление обязанности консультанта предоставлять промежуточные отчеты о своей деятельности, определение правил подсчета убытков от конкретных нарушений договора консультантом либо закрепление штрафов в твердом размере, установление запретов на работу в условиях конфликта интересов, запретов на определенные действия сотрудников компании. Особое внимание необходимо обращать на два момента: во-первых, на обеспечение конфиденциальности информации (правил получения доступа к информации, работы с ней, использования такой информации впоследствии) и, во-вторых, на возможность расторжения договора или отказа от его исполнения в одностороннем порядке. В частности, консультант не должен иметь возможность неожиданно отказаться от договора и уйти со всей собранной им информацией. В качестве обеспечительных мер по договору можно использовать и страхование.

У вас на предприятии уже внедрена информационная система, которая, казалось бы, должна облегчить рутинные операции, оптимизировать работу, но на деле оказывается, что процессы стали ещё запутаннее, а управление и постоянные настройки ИС требуют всё больше и больше ресурсов. В чём причина? Что сделано не так? Нужна ли вообще ИС вашему предприятию, а если нужна, то какая? Какие задачи должна решать ваша информационная система? На эти и другие вопросы может дать ответ только грамотный всесторонний аудит, исследование действующих систем и специфики вашего бизнеса.

До разработки корпоративной информационной системы, осуществляется аудит систем управления, планирования, учёта, отчётности, документооборота, и т.п. Цель - поиск точек роста и оптимизация бизнеса заказчика. Учитывая данные анализа, специалисты разрабатывают КИС (корпоративную информационную систему) для каждого конкретного предприятия. Подвергаются анализу и уже действующие на предприятии информационные системы, степень их эффективности и целесообразность использования именно этих решений..

Современная ИС (информационная система) представляет сложный набор взаимосвязанных схем и алгоритмов, при этом от грамотности ее построения напрямую зависит эффективность работы всего предприятия. Проведение аудита информационной системы позволяет дать ответы на такие важные вопросы, как:

• соответствие ИС преследуемым целям и специфике деятельности компании;
• уровень защищенности данных от внутренних и внешних негативных факторов;
• степень интеграции информационных технологий в бизнес-процессы предприятия.

Аудит ИС – это в том числе и анализ эффективности работы IT-службы, степени автоматизации осуществляемых на предприятии процессов, оценка качества документооборота и журнализации. Его проведение предоставляет возможность получить максимально полную информацию о возможных рисках, о положении IT-инфраструктуры компании.

Аудит эффективности ИС предполагает выполнение следующих мероприятий:

• инвентаризация IT-инфраструктуры (осуществляется проверка используемого в компании оборудования и ПО);
• определение показателей нагрузки на IT-объекты;
• оценка статистических данных, а также информации, полученной в ходе инвентаризации;
• установление степени соответствия функциональных возможностей ИС требованиям бизнеса;
• написание отчета по результатам аудита;
• разработка рекомендаций, направленных на оптимизацию ИС;
• формализация фонда НСИ.

Результаты проведения аудита информационных систем:

• выявление истинных причин низкой эффективности используемой ИС;
• возможность принять обоснованное решение по повышению ее продуктивности, будь то закупка более современного оборудования, совершенствование ранее используемой ИС или ее замена на новую;
• составление прогнозов относительно того, как поведет себя ИС в случае изменения потоков информации (увеличение общего числа проводимых операций, пользователей и т. п.);
• получение доступных и обоснованных рекомендаций, касающихся улучшения работы IT-подразделений, оптимизации затрат на информационные технологии, а также обозначения мероприятий, призванных улучшить качество IT-сервиса.

Универсальных информационных систем, которые подходят всем без исключения предприятиям не бывает. Взяв за основу платформу 1С или Oracle, как базис, необходимо выполнить целый ряд настроек, дополнить нужный функционал, отключить лишнее - выполнить идеальную подгонку всех информационных механизмов по ваш бизнес. Первым шагом к поиску оптимальных решений может быть аудит информационной системы предприятия или, как её принято называть, корпоративной информационной системы.