Рубрикатор |
Статьи | ИКС № 03-04 2015 |
Михаил ЛЕБЕДЬ  | 21 апреля 2015 |
Менеджмент корпоративных ИС: внутренний аудит
Аудит информационных систем предприятия, должным образом проведенный командой собственных ИТ-специалистов, убережет компанию от многих ИТ-рисков.
В настоящее время принято различать ревизионные проверки и аудит: аудит предполагает не только проверку или контроль технологий, соблюдение требований и т.п., как ревизионная проверка, но и оценку качества их организации и управления, а также деятельности конкретных служб и даже отдельных исполнителей. Традиционно и ревизионные проверки, и аудит проводятся применительно к бухгалтерии, учету, отчетности. Информационные технологии сегодня развиваются быстро, постоянно требуют управления и контроля, поэтому идея применения к ним аппарата аудита со всеми его приемами и инструментарием в профессиональной среде возникла закономерно и доказала свою продуктивность.
Под внутренним аудитом корпоративных ИТ подразумеваются проверка и оценка разных сторон деятельности информационных подразделений собственными силами. Это необходимо для того, чтобы удостовериться в соответствии технологий установленным требованиям, выявить возможные ошибки при принятии решений, некорректное исполнение решений или недоработки, а также подготовиться к проверкам официальных аудиторов. Неважно, какое подразделение является инициатором проверок – контрольно-ревизионное или же ИТ-подразделение, внутренний аудит должен выполняться силами информатизаторов.
Что проверять
Качество функционирования, надежность и целостность ИТ, задействованных, например, банковским учреждением, влияют на все аспекты его функционирования. Проверка оперативной деятельности, носящая технологический характер, необходима независимо от того, управляет этими операциями само учреждение или сторонний поставщик услуг. Для получения полной и объективной картины подверженности учреждения рискам, связанным с ИТ, должны проверяться и анализироваться следующие моменты:
-
общая архитектура корпоративной информационной системы и физическая схема локальной вычислительной сети;
-
корпоративные средства связи;
-
организация электронного обмена данными;
-
обеспечение безопасности и защиты информации, работа с ключевой информацией;
-
организация и сопровождение автоматизированных рабочих мест, включая установку программ и информационного наполнения;
-
готовность к нестандартным, нештатным и чрезвычайным ситуациям;
-
договоры на приобретение технических средств, ПО и информационного обеспечения (профессиональных справочников и баз данных);
-
договоры с провайдерами услуг и облачных сервисов, дата-центрами, центрами обслуживания и ремонта средств вычислительной техники;
-
вовлеченность высшего менеджмента учреждения в процессы организации ИТ;
-
организация непосредственно аудита ИТ, в том числе качество подготовки проверки, квалифицированность проверяющих, их приверженность этическим нормам (не может ли случиться так, что ради своего человека скроют любую недоработку, подпишут любой акт), независимость мнения проверяющих, наличие аудит-рисков и их величина, контроль исполнения аудиторских решений.
А у д и т в Р о с с и и
|
В России применяются федеральные правила (стандарты) аудиторской деятельности, утверждаемые Правительством РФ. Эти правила полностью основаны на международных стандартах аудита. В настоящее время действует Федеральный закон от 30.12.2008 № 307-ФЗ (ред. от 01.12.2014) «Об аудиторской деятельности». В 2000 г. в России был создан Институт внутренних аудиторов, являющийся профессиональной ассоциацией специалистов в области внутреннего аудита, ревизии, внутреннего контроля.
|
Последний пункт очень важен, ведь если аудит организован и реализуется неудачно, то целостность и качество работы ИС в учреждении нельзя подтвердить однозначно.
Внутренний аудит может быть организован и для анализа одного конкретного бизнес-процесса. Перечень необходимых проверок по всем направлениям аудита должен быть определен до его начала. Кроме особых корпоративных проверок рекомендуется проводить проверки с использованием существующих наработок, например, для аудита соответствия корпоративных ИТ стандарту безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard).
Как проверять
Одни аудит-проверки ИТ затрагивают организационные стороны деятельности компании, а другие – сугубо профессиональные, при выполнении которых от проверяющих требуются специальные знания и опыт. Сразу же возникают вопросы, как аудиторам справиться с такими поверками, где взять грамотных ИТ-аудиторов? Набирать в ревизионные подразделения квалифицированных и опытных ИТ-специалистов или привлекать экспертов со стороны? Аудит потому и назван «внутренним», что выполнение его предполагается только собственными силами, привлечение экспертов со стороны нерационально. Проверки в рамках внутреннего аудита должны выполняться специалистами ИТ-подразделений под методологическим руководством специалистов аудита. При таком подходе ключевыми становятся вопросы правильной организации проверок.
Проверки, различающиеся по направленности (выборочные, сплошные, документарные, аналитические), должны проводиться по-разному. Во всех случаях руководящим является один принцип – проверки не должны мешать текущей работе компании. Не должно быть несогласованных остановок работы пользователей, блокировок, отсутствия доступа к информации и т.д. Согласованные прерывания работы должны быть сведены к минимуму, для пользователей не должны создаваться дополнительные нагрузки и обязанности. Первейшее требование к проверкам – в целом они не должны нарушать бизнес-процессы, т.е. корпоративные данные не должны теряться, изменяться, реструктурироваться и т.п. Если данные имеют статус корпоративной или коммерческой тайны (являются закрытыми), они ни на миг не должны открываться или терять электронную цифровую подпись. Механизмы парольной защиты, санкционирования доступа и разграничения прав не должны выключаться.
При проверке правильности конструктивного или технологического решения достаточно провести выборочные проверки на типовых задачах или рабочих местах отдельных участков, таких как бухгалтерия, кассовые операции, отчетность. Если правильность решения на выбранных позициях подтверждается, значит, решение принято правильное. Для анализа отсутствия недоработок и корректности реализации проверки должны быть массовыми и подробными. В этом случае нужно проделать большой объем работы, справиться с которым можно, например, путем создания согласованного поэтапного графика работ. Аудит соответствия требованиям должен базироваться на документарных проверках и аналитической работе. В процессе аудита обязательно должны проверяться средства и технологии контроля ИТ.
Глубина всех аудиторских проверок должна быть максимальной. После анализа организационных мероприятий, документации и электронных служебных файлов аудит информационных технологий может быть плавно переведен в проверку их фактического состояния. При проведении технических проверок необходимо иметь в виду влияние человеческого фактора буквально на каждый элемент ИТ. Для тестирования такого влияния проверяющие могут, например, попытаться проникнуть в помещения ограниченного доступа (следом за сотрудниками, имеющими право доступа, по «знакомству», по просроченному пропуску), создать необычную сетевую активность, изменить обычный режим работы и т.д. Проверки фактического состояния ИС могут состоять из выполнения заранее согласованных тестовых примеров, которые предлагаются проверяющими, некорректных тестовых примеров или команд администратора, а также из несанкционированных воздействий на работу информационной системы. Поэтому важным этапом аудита ИТ является подготовка к проверкам.
Подготовка к проведению аудита
На этом этапе устанавливается, что должно быть проверено, в каком объеме и в какие сроки. Определяются состав конкретных тестовых примеров, перечень воздействий на естественные процессы, минимальный круг должностных лиц, которые должны знать о тест-проверках. Нужно решить вопрос о реакции менеджеров высшего звена и службы безопасности, особенно непосвященных, в ситуации, когда бдительные сотрудники поймают проверяющего на нарушении и доложат об этом руководству. Обязательно должны быть разработаны действия на случай, если из-за проверок нарушится работа информационной системы или отдельной ее службы. Для отрицательных результатов тестовых проверок должны предусматриваться меры по моментальному восстановлению работоспособности. При выполнении непредусмотренных или некорректных заданий или команд должен обеспечиваться возврат на предыдущее, логически корректное состояние.
К подготовительной стадии аудита относится и организация рабочих коммуникаций между проверяющими и проверяемыми. Не является чем-то исключительным положение, обязывающее проверяющих предъявлять все свои запросы к проверяемым в письменном виде, а проверяемых – представлять для проверки все затребованные документы и иную информацию, а также обеспечивать доступ ко всем проверяемым объектам. Зато новаторской является точка зрения, согласно которой корпоративные технологии, несмотря на дополнительные, часто откровенно «бюрократические» затраты, должны вырабатываться такими, чтобы создавались условия для последующего аудита. Например, если системно-техническое подразделение строит свою работу с пользователями с применением технологических заявок, то для будущего аудита полноты и соблюдения сроков исполнения в этих заявках должны предусматриваться номер заявки и фамилия исполнителя, заявки должны регистрироваться по своим номерам как поступившие или выполненные, в них должны указываться время исполнения и фамилия исполнителя. В других информационных работах затраты на обеспечение аудита могут быть более сложными и более значительными, но всегда проверяемые должны смотреть на свои процессы глазами проверяющих – условия для аудита необходимо создавать безусловно, независимо от затрат. Заинтересованность топ-менеджмента в устойчивом состоянии ИТ проявится, в частности, в том, что эти затраты будут учтены и в штатном расписании соответствующих подразделений, и в оплате их труда.
Оформление результатов
Объемы и последовательность проверок в каждом конкретном случае определяются заданной темой аудита. Однако во всех случаях необходимо оформление результатов. Ход работ, их промежуточные результаты, описания и оценки фактов и явлений, установленных в ходе проверки, следует отражать в виде отдельных протоколов и актов. Такая формализация представления итогов необходима для точного документарного отражения действий, что полезно для дальнейшего анализа, обобщения и накопления опыта. Как правило, то, что не зафиксировано, быстро забывается. При оформлении промежуточных результатов рекомендуется устанавливать весовые коэффициенты для каждого проверяемого компонента, процесса или параметра, для того чтобы подготовить базу для определения сводных заключительных оценок.
Окончательные оценки по результатам аудита могут быть представлены в нескольких видах: общее текстовое заключение, табличные оценки на основе промежуточных оценок и их весовых коэффициентов, оценки в виде рейтингов и т.д. По мнению автора, наиболее наглядно и технологично табличное представление, когда при оформлении каждого промежуточного результата проверяющие выставляют компонентную оценку (например, по десятибалльной шкале) и определяют ее весовой коэффициент, а общий итог составляется путем суммирования промежуточных оценок с учетом их веса. В зависимости от величины итогового результата вычисляется его композитный рейтинг, а соответствующие этому рейтингу разъяснения* позволяют автоматически определить управляющие воздействия. При подведении итогов следует предусматривать анализ материалов предыдущих проверок с целью выяснения, не повторяются ли проблемы.
Проверяющие должны соблюдать конфиденциальность и не допускать разглашения общих результатов и того рабочего состояния, которое они обнаружили. Поэтому должны быть проработаны корпоративные требования к формам и объемам высказывания проверяющими собственного мнения о проверках, общих оценках и качестве работы проверяемых. По мнению автора, высказывать мнение и давать оценки проверяемым вправе только высший менеджмент проверяемого компонента, процесса или технологии.
На завершающем этапе внутреннего аудита ИТ, как и при завершении всяких других проверок, обязательно нужно разработать согласованный план мероприятий по устранению недостатков, замечаний, реализации рекомендаций и т.д. Основное требование к этому этапу работ – конкретизация действий, сроков и ответственных исполнителей, а также обязательность отчета ответственных исполнителей о выполнении безусловно необходимых мероприятий, выработанных общими усилиями проверяющих и проверяемых.
При хорошей отлаженности процессов подготовки и проведения проверок, а также подведения их результатов внутренний аудит в рамках ИТ-подразделения может быть организован по каждому факту, бизнес-процессу или этапу работ, и проверяющие сами себя информатизаторы проведут проверку и анализ с такой тщательностью, что говорить о корпоративных аудит-рисках в отношении ИТ не придется. икс
____________________________________________________________________
* Например, рейтинг 2 может означать, что проверяемый компонент демонстрирует надежное функционирование, но при этом имеются небольшие недостатки в организации работ или их мониторинге. Требуется уточнение операций, улучшение координации, совершенствование информирования в ИТ-подразделении, что может быть выполнено в рабочем порядке. Особые оргвыводы не требуются.