Методологические аспекты проведения аудита и особенности тестирования системы компьютерной обработки данных
Содержание
1. Методологические аспекты проведения аудита и особенности тестирования системы компьютерной обработки данных 2. Процедуры автоматизации аудиторской деятельности на основе современных управленческих систем
Методологические аспекты проведения аудита и особенности тестирования системы компьютерной обработки данных
Система компьютерной обработки данных (КОД) – комплекс вычислительных и инструментальных средств аудитора, обеспечивающих сбор и обработку бухгалтерской информации при выполнении им профессиональных функций с целью составления официального аудиторского заключения о достоверности отчетности в электронной форме. Система КОД включает в себя следующие элементы: 1. Аппаратные средства. К ним относятся: оборудование и устройства, осуществляющие функционирование компьютера и решения им прикладных задач. 2. Программные средства: 2.1. Системные программы. К этим программам, выполняющим общие функции, обычно относят: операционные системы, которые управляют аппаратными средствами и распределяют их ресурсы для максимально эффективного использования, системы управления базами данных (СУБД), обеспечивающие выполнение стандартных функций по обработке данных, сервисные программы, которые выполняют в компьютере основные операции, например, сортировку записей. 2.2. Прикладные (пользовательские) программы – это внутрифирменные подпрограммы для обработки данных, которые организация–пользователь разрабатывает самостоятельно или приобретает у внешнего поставщика. 3. Эксплуатационная документация – описание системы и структуры управления применительно к вводу, обработке и выводу данных, обработке сообщений, логическим и другим командам.
4. ИТ-персонал – работники, которые управляют системой, проектируют ее и снабжают программами, эксплуатируют и контролируют систему обработки данных. 5. Информационная база бухгалтерских данных – сведения о хозяйственных операциях и другая необходимая информация, подвергающаяся вводу, хранению и обработке в системе. 6. Процедуры контроля – процедуры, обеспечивающие проверку записи операций, предупреждающие или регистрирующие ошибки. Наличие у клиента систем компьютерной обработки данных (КОД) в первую очередь влияет на состав проводимых аудитором процедур, поэтому планирование аудита в условиях систем КОД неизбежно имеет свои особенности. Аудитор на этапе планирования должен решить вопросы организационно-технического обеспечения аудиторских процедур и необходимости привлечения технических специалистов. Процедуры тестирования системы КОД обязательно должны быть предусмотрены в числе первых по очередности выполнения, поскольку именно они позволяют определить аудиторский риск. Аудитор на данном этапе работ обязан выяснить,- используется ли система клиента по назначению? Важным является и тиражность используемой клиентом системы КОД. В многофункциональной широко используемой системе, которая применяется на сотнях предприятий в различных условиях, скорее всего уже устранены в подавляющем большинстве ошибки, допущенные при ее разработке. Целесообразность использования конкретной системы КОД и рекомендации по переходу клиента на другую систему КОД должны опираться на сравнительный анализ существующих систем. Следует обратить особое внимание, как на подготовку, так и на отношение персонала к системе КОД. Для выполнения аудита в условиях КОД аудитор должен иметь знания в области информационных технологий, так как привлечение к этому процессу технических экспертов увеличивает риск утечки информации. Кроме того, отсутствие у аудитора этих знаний может привести к неверному составлению технических заданий для экспертов и ошибочной трактовке полученных ими результатов.
Тестирование вводимых в систему КОД данных является обязательной аудиторской процедурой. Никакая, даже самая совершенная система КОД не даст реальных результатов, если в нее введены данные, не соответствующие произведенным хозяйственным операциям. Тестирование может быть как сплошным, так и выборочным, что привносит дополнительный элемент аудиторского риска - риск неверно оценить качество введенных в систему КОД данных. Учетная политика, ориентированная на систему КОД, должна обязательно предусматривать внутренний логический контроль. Отсутствие описания внутреннего контроля в учетной политике либо ненадлежащее выполнение соответствующих процедур является дополнительным фактором риска для аудитора. Процедуры контроля должны включать как использование программных функций, так и организационные мероприятия, например, ежевечерняя проверка на целостность данных или на отсутствие компьютерных вирусов. Отчеты, формируемые системой автоматически, позволяют аудитору, как независимому лицу, выявить ошибки или злоупотребления, маскируемые при настройке отчетных форм персоналом клиента. Чем больше автоматически формируемых отчетных форм предусмотрели разработчики системы КОД, тем больше различных тестов на согласованность данных и результатов может провести аудитор. Тестирование системы КОД клиента с использованием контрольных данных более эффективно, нежели тестирование на основе данных клиента. Использование контрольных данных должно быть согласовано с клиентом, так как может потребовать остановки работ на время тестирования. После тестирования контрольные данные должны быть удалены из системы КОД клиента. После обязательного тестирования системы КОД аудитор вправе предложить аудируемому лицу в виде сопутствующих услуг возможные виды аудита систем КОД клиента, позволяющие получить всестороннюю объективную оценку инфраструктуры предприятия. Проведение аудита следует доверять независимым высококвалифицированным экспертам.
Сокращения возникающих в случаях системных сбоев потерь можно достичь путем комплексного исследования технического состояния всех компонентов систем КОД. Существует следующие направления аудита систем КОД (рис. 2):
Рис. 2. Направления аудита систем КОД Аудит технического состояния систем прежде всего предназначен для компаний, которым требуется оценить их текущее состояние с целью реконструкции и модернизации или подготовиться к внедрению новых технологий. Проведение аудита технического состояния позволяет: устранить системные сбои; повысить эффективности работы предприятия; произвести модернизацию и реконструкцию систем на основании полученных рекомендаций; организовать и наладить их поддержку. По результатам аудита клиенту предоставляется отчетность по следующим направлениям: состояние кабельной системы; реализация резервного копирования; наличие избыточного трафика в сети, наличие ошибок в трафике; список пользователей, с целью предоставления рекомендаций по внедрению политики безопасности; наличие незащищенных дисковых ресурсов; безопасность информационной системы для выявления существования потенциальных угроз несанкционированного доступа к системе; инвентаризация программных и аппаратных средств; загруженность каналов связи для определения и локализации критических участков инфраструктуры сети. Руководство предприятий часто сталкивается с задачей определения стоимости системы КОД. Происходит это при расчете эффективности капиталовложений, оценке затрат на переоборудование системы или стоимости предприятия при подготовке ее для продажи. Аудит эффективности дает возможность предприятию оценить совокупную стоимость владения систем КОД, а также оценить сроки возврата инвестиций при вложении средств в систему, разработать оптимальную схему вложений, осуществить эффективное расходование средств на обслуживание и поддержку, снизить производственные затраты на систему КОД.
По результатам аудита клиенту предоставляется отчетность по следующим направлениям: оценка стоимости оборудования; оценка качества существующей кабельной системы; оценка стоимости внедренных технологий; оценка затрат на содержание системы; оценка качества технической поддержки пользователей; оценка стоимости налаженных процессов управления; оценка совокупной стоимости владения системы. Обеспечение информационной безопасности является ключевым моментом деятельности любой компании. Результаты аудита информационной безопасности позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты информации. Данный вид аудита предназначен для клиентов, желающих оценить соответствие системы информационной безопасности существующих требованиям. По результатам аудита клиенту предоставляется отчетность по следующим направлениям: комплексная проверка уровней обеспечения информационной безопасности компании; анализ информационных рисков; анализ системы защиты по внешним сетям; анализ системы контроля информации, передаваемой по телефонным соединениям и электронной почте; определение возможных каналов утечки конфиденциальной информации. В перечень предоставляемых по результатам аудита материалов входят отчет о текущем состоянии системы информационной безопасности и эффективности вложений в систему информационной безопасности, а также рекомендации по политике безопасности и плану информационной защиты. Аудит проектов внедрения и реинжиниринга позволяет эффективно инвестировать средства в информационную инфраструктуру предприятия за счет контроля решений и работ, предлагаемых исполнителями. Таким образом, если предприятие собирается начинать крупные проекты модернизации системы КОД предприятия, использует услуги системных интеграторов с целью определения реальных сроков и стоимости проектов перед началом работ или ставит перед собой цели контроля проектов внедрения в своих филиалах и дочерних компаниях, то данный вид аудита для нее просто незаменим. Он позволяет четко оценить риски внедрения и реинжиниринга системы, сроки и планируемые ресурсы на разработку и внедрение решений, правильность выбора методов и технологий, а также заблаговременно выявить возможные ошибки и получить рекомендации, направленные на повышение эффективности проекта. В проведение аудита проектов внедрения и реинжиниринга входит проверка проекта и составленного технического задания (ТЗ) на соответствие реальным требованиям предприятия и стандартам, например, ГОСТ 34601–90 «Автоматизированные системы. Стадии создания». После окончания проведения аудита клиенту предоставляется полный отчет о соответствии ТЗ требованиям деятельности и предлагаемого решения ТЗ, о выполнении этапов работ, результаты сертификационных изменений, сводный отчет о проекте.
Государственные органы, а также зарубежные инвесторы или учредители могут потребовать от клиента наличие сертификата системы предприятия с целью соответствия услуг необходимому уровню качества. В этом случае оценочный аудит системы выявляет отклонения от существующих стандартов и формирует рекомендации, позволяющие устранить обнаруженные несоответствия. Оценочный аудит системы предназначен для тех компаний, которые: планируют создание системы на основе существующих стандартов; планируют проведение сертификации предприятия; хотят удостовериться в том, что процесс создания системы соответствует существующим стандартам (ГОСТы, ISO, IEEE, ANSI и пр.); желают проверить деятельность филиалов на соответствие существующим корпоративным стандартам холдинговых компаний. По результатам аудита клиенту предоставляется отчетность по следующим направлениям: определить существующие стандарты в данной предметной области, выявить основные отклонения от стандартов, зафиксировать результаты и выдать рекомендации по устранению несоответствий. Кроме того, необходимо провести оценочный аудит программного обеспечения (ПО), который позволяет определить экономическую эффективность от внедрения и эксплуатации как определенного вида ПО, так и комплекса программных продуктов. Главным образом, оценочный аудит предназначен для компаний, планирующих провести легализацию ПО, осуществить переход к новым версиям программных продуктов, провести модернизацию бизнес-процессов путем внедрения новых программных средств, а также оценить текущее состояние программного комплекса. По результатам аудита клиенту предоставляется отчетность по следующим направлениям: соответствие ПО решаемым задачам; результаты инвентаризации установленных программных средств; результаты функциональности ПО; результаты рациональности использования установленного ПО; результаты проверки актуальности установленных версий ПО; результаты проверки корректности настроек ПО; результаты совместимости ПО с платформами; результаты сетевой совместимости ПО. Комплексная оценка веб-представительства предприятия производится в рамках веб-аудита. Данный вид аудита предназначен для компаний, которые планируют более активно использовать возможности Интернета в бизнесе, проводить маркетинговые интернет-кампании, создавать или реконструировать свой веб-ресурс. Для достижения результатов при проведении веб-аудита необходимо провести анализ статистики посещаемости веб-ресурса (анализ трафика), проставление балловых оценок веб-ресурса по основным оценочным критериям, сравнительный анализ исследуемого веб-ресурса с лидером в исследуемом сегменте рынка.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|