Экономические науки /7.Учет и аудит
К.е.н., доцент Ілляшенко К.В.
Таврійський
державний агротехнологічний університет
АУДИТ ІНФОРМАЦІЙНИХ СИСТЕМ
Кожне підприємство здійснює
певну діяльність, спрямовану на досягнення своїх стратегічних цілей і
задоволення потреб. Будь-яку діяльність можна розбити на функціонально
закінчені процеси. Так, роль інформаційних технологій полягає у підтримці
діяльності підприємства. Вони повинні забезпечити вироблення правильного управлінського
рішення у кожній конкретній ситуації, тобто
вчасно й у потрібному обсязі надати достовірну інформацію, необхідну для
ухвалення такого рішення.
На сучасному
етапі залежність підприємств від інформації значно збільшилася. Більші обсяги
початкових і наступних інвестицій в інформацію та інформаційну систему
припускають планування й обґрунтування інвестицій, створення продуманої
обґрунтованої політики інвестування. Зростає уразливість інформаційних систем у
зв'язку з підвищенням їхньої складності, територіальним розкидом, підключенням
до Інтернету, порушенням конфіденційності за допомогою хакерських атак тощо.
Все це обумовлює проведення на підприємствах аудиту інформаційних систем.
Аудит – це
системний процес одержання й оцінки об'єктивних даних про економічні дії та
події, що встановлює рівень їхньої відповідності певному критерію та надає
результати зацікавленим користувачам [1, с. 56].
Інформаційні
системи (ІС) – це організаційно впорядкована сукупність документів і
інформаційних технологій, у тому числі з використанням засобів обчислювальної
техніки та зв'язку, що реалізують інформаційні процеси.
Аудит ІС
відбувається у декілька етапів, які
включають [2, с. 64]:
-
узгодження
із власником системи цілей і змісту аудита;
-
одержання
об'єктивної інформації про поточний стан ІС;
-
оцінка
інформації й установлення рівня відповідності ІС певним критеріям, стандартам
аудиту;
-
подання
результатів оцінки та рекомендацій з оптимізації власникові системи;
- контроль
за виконанням рекомендацій.
Результати аудиту
інформаційних систем дозволяють [1, с.82]:
- оцінити відповідність ІС
вимогам бізнесу: виявити недоліки та недогляди; обґрунтувати інвестиції в
інформаційні технології;
- прогнозувати розвиток
ситуації: ефективно планувати розвиток інформаційних технологій підприємства;
розуміти вигоди та ризик при внесенні змін до ІС; передбачати виникнення
проблемних ситуацій;
- приймати рішення:
обґрунтовано вирішувати проблеми безпеки та контролю; отримувати або
модернізувати апаратно-програмні засоби; займатися аутсорсінгом; планувати
підвищення кваліфікації співробітників;
- контролювати виконання
рішень: управляти інформаційними технологіями складових проектів, контролювати
час і вартість їхньої реалізації, оцінювати повноту досягнення цілей;
контролювати вартість володіння ІС.
Результати аудита ІС можна
поділити на три основних групи:
- організаційні – планування,
керування, документообіг, функціонування ІС;
- технічні – виправлення
несправностей, оптимізація роботи елементів ІС, безперервне обслуговування,
створення інфраструктури тощо;
- методологічні – підходи до
рішення проблемних ситуацій, управлінню та контролю, загальна впорядкованість і
структуризація.
В ході аудиту можуть бути
створені наступні документи: довгостроковий план розвитку ІС, політика
інформаційної безпеки підприємства, методологія роботи та доведення ІС, план
відновлення ІС у надзвичайних ситуаціях.
У допомогу професійним
аудиторам, керівникам відділів інформаційно-технічної підтримки,
адміністраторам і зацікавленим користувачам асоціацією ІSACA і залученим
фахівцями із провідних світових консалтингових компаній був розроблений
відкритий стандарт CobiT (скорочення від Control Objectives for Information and Related Technology – завдання інформаційних і суміжних технологій),
перше видання якого у 1996 р. було продано в 98 країнах світу та полегшило
роботу аудиторів у сфері інформаційних технологій [1, с.49].
Управління й аудит у
відповідності зі стандартом CobiT надає
підприємству наступні додаткові переваги:
- можливість одержання
результату у порівняно короткий термін;
- гарантія того, що при
проведенні аудиту будуть охоплені усі рівні інформаційних технологій;
- після проведення
«первинного» аудиту відбувається наповнення інформаційної бази, що робить
процеси проведення наступних перевірок простіше, легше і, як наслідок, дешевше;
- як інструмент керування, CobiT залишається та впроваджується на підприємстві,
автоматично переводячи його на рівень управління, який можна порівняти з другим
рівнем моделі зрілості CMM (Capability Maturity Model) - еволюційної
моделі розвитку здатності компанії розробляти та супроводжувати програмне
забезпечення.
Таким чином, регулярне
проведення аудита ІС не менш
необхідно, ніж аудит фінансової
звітності, тому як негативні наслідки
пробоїв у функціонуванні ІС можуть призвести до серйозних наслідків,
починаючи від фінансових втрат, втрати
довіри з боку клієнтів і партнерів, і закінчуючи втратою ліцензії або повною
зупинкою діяльності бізнесу.
Литература:
1.
Подольский В. И. Компьютерный аудит. Практикум : учеб.
пособие / В.И. Подольский, Н.С. Щербакова. – М. : ЮНИТИ-ДАНА, 2008. – 128 с.
2.
Федорова Г. В. Информационные технологии бухгалтерского учета, анализа и аудита : учеб. пособие / Г.В. Федорова. –
М. : ОМЕГА-Л, 2011. – 182 с.