Международный экономический форум 2010

Шеремет Т. Г., Кравцова Е.Н. Донецкий национальный университет экономики и торговли имени Михаила Туган - Барановского

Cтандарты и практика проведения аудита информационной системы

Информационная инфраструктура - это прежде всего отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, протекающих в информационной системе. Аудит информационной системы (ИС) - это системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику [1].

Подход к предоставлению аудита информационной системы как отдельной самостоятельной услуги с течением времени упорядочился и стандартизировался. Крупные и средние консалтинго-аудиторские компании образовали ассоциации - союзы профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере информационных . Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау". Однако существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита информационных систем. Ассоциация основана в 1969 году и в настоящее время объединяет около 20 тыс. членов более чем из 100 стран, в том числе и России, где создано ее отделение. Ассоциация координирует деятельность свыше 12 тыс. аудиторов информационных систем [2].

Основная декларируемая цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем [3].

В помощь профессиональным аудиторам, руководителям отделов информационно-технической поддержки, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан открытый стандарт CoBiT, первое издание которого в 1996 году было продано в 98 странах и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий получить адекватное представление о целях и задачах информационной системы, учитывая все особенности информационных систем любого масштаба и сложности.

Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией.

Анализ - наиболее ответственная часть аудита. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации имеются в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа становятся базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации создаются документы, отсутствие которых, например документов, содержащих углубленное рассмотрение вопросов обеспечения безопасности информационной системы, может вызвать сбои в ее работе.

Во всем мире консалтинг в сфере аудита приобрел всеобъемлющий размах. Однако исследования показывают, что отчеты о проведении аудита информационной системы не отличаются технической грамотностью и содержательностью рекомендаций. Невысокий уровень предлагаемых заказчикам отчетов объясняется тем, что подавляющее большинство западных аудиторских компаний, предлагающих свои услуги в сфере информационных технологий, выросли из финансового аудита и технических специалистов они приглашают лишь по мере надобности.

Литература: Савицкий Н.И. Экономическая информатика: учебное пособие - М.: ЭкономистЪ, 2005. - 429 с. Кренке Д. Теория и практика построения баз данных. - Спб.: Питер, 2005 - 589 с. Петров В.Н. Информационные системы - Спб.: Питер, 2002. - 688с.