Методика проведения ИТ-аудита основе риск-ориентированного подхода
Изучение основных аспектов проведения аудита информационных технологий на основе риск-ориентированного подхода. Положения международных аудиторных практик и стандартов. Рассмотрение показателей эффективности функционирования информационных систем.
Рубрика | Бухгалтерский учет и аудит |
Вид | статья |
Язык | русский |
Дата добавления | 15.01.2021 |
Размер файла | 21,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Институт информационных технологий МИРЭА - Российский технологический университет Россия, г. Москва
Методика проведения ИТ-аудита основе риск-ориентированного подхода
Руденская Юлия Сергеевна студент магистратуры, 1 курс,
Потапова Ксения Александровна студент магистратуры, 1 курс,
Аннотация
изучены основные аспекты проведения аудита информационных технологий на основе риск-ориентированного подхода на основе международных практик и стандартов. Приведены базовые положения стандартов. Рассмотрены показатели эффективности функционирования информационных систем.
Ключевые слова: аудит, информационная система, стандарты, риск- ориентированный подход.
Abstract
the main aspects of information technology audit based on a risk- based approach based on international practices and standards are studied. The basic provisions of the standards are given. The performance indicators of information systems are considered.
Keywords: audit, information system, standards, risk-oriented approach.
Введение
В настоящее время существует необходимость создания методик управления рисками для успешного формирования проектов управленческих решений в информационных системах. Наличие внутреннего аудита позволяет своевременно выявлять проблемы и слабые стороны системы, упрощает процесс принятия долгосрочных управленческих решений, помогает выстраивать грамотную бизнес-логику без мошенничества на различных этапах работы. Грамотность и эффективность принимаемых руководством компании решений напрямую зависит от качества предоставляемой им информации. Такая информация должна быть полной, достоверной, релевантной. Однако часто ответственное лицо вынуждено принимать управленческие решения в условиях риска и неопределенности, которые возникают вследствие передачи ему неактуальной, неполной или ложной информации, что в дальнейшем влечет за собой серьезные последствия. Именно поэтому перед задачей внутреннего аудита ставится цель максимально сократить неблагоприятные риски с помощью их своевременной идентификации и дальнейшей оценки.
Деятельность аудита регламентируется как международными стандартами и положениями, так и локальными документами, которые позволяют выстроить работу внутреннего аудита так, чтобы максимально уменьшить риски от основных бизнес-процессов. При этом, следование сложившимся стандартам и лучшим практикам является необходимым условием для проведения аудита наиболее оптимальным и качественным образом.
Основные международные стандарты и лучшие практики проведения аудита информационных технологий «IT Audit Framework 2nd Edition» (ITAF) - международный стандарт проведения ИТ-аудита от организации ISACA, действующая редакция выпущена в июле 2013 года. Стандарт используется при проведении аудиторских проверок информационных систем и ИТ-инфраструктуры. Стандарт определяет основные термины и концепции, требования к специалистам, этапы проведения проверок и подготовки отчетов, перечень руководств, рабочих программ и инструментальных средств, используемых в области ИТ-аудита.
ITAF состоит из трех частей:
- общие стандарты;
- стандарты проведения аудиторских проверок;
- стандарты отчетности.
Для каждой из частей стандарта ассоциацией ISACA разработаны руководства, рабочие программы и инструкции, поддерживающие проведение описанных аудиторских процедур [3].
«Cobit 5 for Assurance» - руководство по проведению аудита в соответствии с COBIT v.5, действующая редакция выпущена в июле 2013 года. Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5.
«Cobit 5 for Assurance» включает в себя:
- содержит детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;
- содержит структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами, описанными в COBIT 5;
- демонстрирует конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.
В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.
«International Professional Practices Framework (IPPF) for Internal Auditing Standards» - международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA). Действующая редакция выпущена в 2013 году. Целевая аудитория стандарта - сотрудники внутреннего аудита.
Стандарт направлен на определение базовых принципов проведения внутреннего аудита, стандартного набора практик проведения внутреннего аудита, базовых показателей оценки эффективности процедур внутреннего аудита. Стандарт может быть использован как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий. Для методологической поддержки стандарта в части проведения ИТ-аудита, ассоциацией IIA были разработаны детальные руководства по оценке ИТ-рисков (Guide to the Assessment of IT Risk) и аудиту информационных технологий (Global Technology Audit Guide)[3].
В некоторых случаях при проведении ИТ-аудитов могут быть использованы международные стандарты и лучшие практики, которые не являются непосредственными стандартами аудита, но удобны для оценки эффективности ИТ-процессов:
- ISO 20000 - международный стандарт по управлению и обслуживанию IT сервисов;
- ITIL (IT Infrastructure Library) - библиотека, описывающая лучшие методы организации работы подразделений или компаний, предоставляющих услуги в области ИТ;
- PCI DSS - стандарт безопасности данных индустрии платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover;
- Публикации NIST серии 800-хх по информационной безопасности;
- ISF Standards of Good Practice for Information Security - бизнес- ориентированное практическое руководство по управлению рисками информационной безопасности от международной организации Information Security Forum (ISF) [3].
Аудит информационных систем является важнейшей составляющей аудита компании в целом. Информационная система (ИС) представляет собой совокупность программного и аппаратного обеспечения, используемого для обработки, передачи, изменения и хранения информации, подразумевая в своем составе широкий набор элементов. ИС в более узком смысле представляет собой конкретный программный продукт. Основная задача при проведении аудита в компьютерной среде обработки данных является решение вопроса о достоверности предоставляемой информации. Главная цель методологии аудита ИС - достижение высокого уровня уверенности в эффективности функционирования ИС в следующих показателях:
- принципы функционирования (совместимость, адаптивность, гибкость);
- методы функционирования (соответствие нормативной и технической документации);
- способы функционирования (фактические показатели функционирования) [2].
Таким образом, деятельность аудита становится направленной на риск- ориентированный подход, который дает своевременную оценку
эффективности работы информационной системы, выявляет негативные и положительные аспекты работы, формирует рекомендации для дальнейшего развития. Один из способов внутреннего аудита - система мониторинга, включающая обработку информации для оценки рисков и прогнозирования, проекты по принятию решений и повышению эффективности компании в целом.
Заключение
Потенциал внутреннего аудита в современных условиях заключается в создании системы мониторинга для управления ключевыми бизнес- процессами. Основой такой системы мониторинга является формирование проектов управленческих решений и применение процедур, направленных на повышение эффективности деятельности компании, а также получения информации, необходимой для оценки рисков и прогнозировании развития общества. Именно поэтому внутренний аудит в случае системного подхода к решению основных проблем приобретает приоритетное значение в системе корпоративного управления и формирует необходимые предпосылки для развития профессии внутреннего аудитора. Согласно мнению специалистов, внутренний аудит можно рассматривать по-разному: как подсистему внутреннего контроля; как составную часть независимого аудита; как элемент системы риск-менеджмента.
Внутренний аудит, основанный на риск-ориентированном подходе, должен базироваться на эффективных методиках и процедурах, использование которых позволит своевременно выявить риски и факторы неэффективной работы системы.
аудит риск международный информационный
Использованные источники
1. Шарапова И.С., Юга И.П., Кваско М.А. Концепция риск-ориентированного аудита // Молодой ученый. - 2017. - №10. - С. 292-296. - Режим доступа. - Ц^: https://moluch.ru/archive/144/40397/ (дата обращения: 18.01.2020).
2. Баранова О.В. Методологические подходы к аудиту информационных систем [Текст] / Баранова О.В. // Аудит и финансовый анализ. - 2015.
3. Основные международные стандарты и лучшие практики проведения аудита информационных технологий // [Электронный ресурс] - Режим доступа. - Ці: https://habr.com/ru/post/224895/ (дата обращения: 18.01.2020).
4. Толчинская М.Н. Риск-ориентированный подход в организации службы внутреннего аудита / М.Н. Толчинская // Фундаментальные исследования. - 2015. - № 10. - С. 640-644.
Размещено на Allbest.ru
...Подобные документы
Концепция аудита информационных систем, его объекты. Риски, связанные с информационной системой аудируемого лица, их классификация и показатели оценки. Снижение рисков при проведении аудита информационных систем. Источники потенциальных опасностей.
статья [33,0 K], добавлен 05.12.2013Характеристика принципов проведения аудита. Взаимосвязь между уровнем существенности и аудиторским риском. Основные факторы, от которых зависит предпринимательский риск. Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита.
контрольная работа [33,3 K], добавлен 10.02.2012Рассмотрение понятия, этапов развития, видов и принципов международной системы аудита. Изучение особенностей оценки риска при использовании информационных систем. Ознакомление с правилами составления отчета о выполнении специального аудиторского задания.
курс лекций [81,0 K], добавлен 22.05.2010Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.
дипломная работа [1,7 M], добавлен 24.06.2015Основные положения, термины и определения в области управления качеством на основе международных стандартов ISO 9000. Требования к системам управления качеством. Принципы аудита систем управления, требования к аудиторам, оценка их компетентности.
учебное пособие [401,0 K], добавлен 02.04.2012Сущность и особенности внутреннего аудита, использование зарубежного опыта. Внутренний аудит основных показателей предприятия на основе данных ТОО "Караганда ПромСнаб", АО "Казпочта" и ИП Рахимова. Программа аудита долгосрочных финансовых инвестиций.
дипломная работа [403,2 K], добавлен 16.01.2011Изучение особенностей аудита основных средств в инвестиционных циклах. Определение основных аспектов составления программы аудита и рабочих документов аудитора. Выявление возможных рисков при проведении аудита основных средств на примере предприятий.
курсовая работа [354,8 K], добавлен 30.11.2017Структура, содержание, принципы и цели международных стандартов аудита. Определение и оценка рисков возникновения существенных искажений через понимание деятельности аудируемого лица и его среды. Действия аудитора в соответствии с оценочными рисками.
контрольная работа [92,1 K], добавлен 12.09.2012Основные требования к информационному обеспечению, специфика и направления применения компьютеров в аудите. Особенности планирования аудита с применением компьютеров. Риски информационных технологий и их главные контрольные объекты: ISACA, CoBiT.
контрольная работа [19,2 K], добавлен 12.02.2012Методологические основы аудиторской деятельности. Методы организации проведения аудиторских проверок. Класификация методов аудита. Виды и источники их получения. Методологические подходы к технике проведения аудита. Нормативно-правовые методы аудита.
курсовая работа [275,4 K], добавлен 17.06.2008Цели, принципы и задачи аудита. Законодательные акты и нормативные документы по регулированию аудиторской деятельности в Российской Федерации, порядок ее аттестации. Виды аудита, услуги, ему сопутствующие. Аудиторский риск, договор об оказании услуг.
шпаргалка [68,4 K], добавлен 19.02.2012Внутренний контроль качества аудита. Требования по обеспечению внутреннего качества работы в ходе аудиторской проверки. Форма и содержание внутренних стандартов аудиторской организации: перечень стандартов, положения о методике проведения аудита.
контрольная работа [33,6 K], добавлен 04.12.2007Молодость как основное отличие, препятствующее выходу российского аудита на уровень западного. Рассмотрение ключевых особенностей применения международных стандартов аудита в России. Общая характеристика стандарта 500 "Аудиторские доказательства".
дипломная работа [61,5 K], добавлен 22.12.2014Сущность и экономическая природа аудита, цели и задачи в деятельности современного предприятия. Структура аудита, порядок и правила его проведения, необходимая документация и источники ее получения. Понятие и виды аудиторского риска, методы их избежания.
курсовая работа [41,1 K], добавлен 16.01.2010Классификация и особенности основных групп международных стандартов аудита. Понятие и содержание письма об аудиторском задании. Специфические требования, предъявляемые к оформлению рабочих документов аудита. Методика выполнения и пример решения задачи.
контрольная работа [21,2 K], добавлен 07.12.2009Характеристика связи международных стандартов аудита с отечественными нормативными документами, регулирующими аудиторскую деятельность. Исследование отечественных правил аудиторской деятельности, не имеющих аналогов среди международных стандартов аудита.
контрольная работа [60,8 K], добавлен 24.01.2015История и предпосылки появления аудита как научного направления. Цель "аудита в риске". Ответственность за несоблюдение аудиторской тайны. Содержание и порядок составления общего плана аудита. Особенности проведения специального аудиторского задания.
тест [17,9 K], добавлен 19.12.2009Источники информации для проведения аудита затрат на капитальный ремонт ОАО "Жилищник". Составление плана и программы аудиторской проверки затрат на капитальный ремонт. Методика проведения аудита. Ошибки, выявленные при проведении аудита затрат.
реферат [120,0 K], добавлен 23.08.2013Основные понятия аудита и его сущность. Источники информации для аудита материалов. Особенности расчета аудиторского риска и существенности. Проверка правильности налоговых расчетов. Особенности проведения инвентаризации материальных ценностей.
курсовая работа [670,7 K], добавлен 30.03.2016Значение Международной федерации бухгалтеров для разработки современных нормативов аудита. Современный этап в развитии международных стандартов аудиторской деятельности в России. Роль и факторы развития международных стандартов аудита в современном мире.
реферат [38,9 K], добавлен 08.04.2009