Автоматизация аудита информационной системы предприятия энергетической отрасли Текст научной статьи по специальности «Компьютерные и информационные науки»

m 1(19)2009

Ф. X. Бдоян

Автоматизация аудита информационной системы предприятия энергетической отрасли

Понятие аудита информационной системы (ИС) предприятия оформилось сравнительно недавно и сегодня вызывает постоянный интерес специалистов в области информационных технологий и менеджмента. Статья раскрывает принципы логического проектирования системы автоматизации аудита ИС в энергетической отрасли.

Аудит ИС предприятия энергетической отрасли представляет собой комплексный контроль выполнения функций поддержки основных бизнес-процессов, реализующихся на предприятии c учетом проблемной области ИС. В нашем случае проблемной областью является энергетическая отрасль. Основные бизнес-процессы на предприятиях отрасли:

• закупка топлива;

• выработка, учет, отпуск тепловой и электроэнергии;

• транспортировка тепловой и электроэнергии;

• продажа тепловой и электроэнергии.

Обычно на ИС предприятия возлагается

задача обработки информации, связанной с движением материальных и финансовых средств.

Ошибки, допущенные при проектировании ИС, а также последствия нарушений системы защиты информации сопряжены со значительными финансовыми потерями. Все это обусловливает необходимость автоматизации аудита ИС и делает актуальной задачу логического проектирования системы автоматизации аудита ИС в энергетической отрасли.

Методология аудита информационной системы

Аудит информационной системы предприятия энергетической отрасли основывается на следующих стандартах и нормах:

• ISA (International Standards on Auditing) — международные аудиторские стандарты;

38 ^

• международный стандарт ISO/IEC17799:2000 «Управление информационной безопасностью — Информационные технологии (Information Technology — Information Security Management)»;

• стандарт CobiT (The Control Objectives for Information and Related Technology — Контрольные объекты для информационной и смежных технологий);

• стандарты Ассоциации аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation Standards — ISACA Standards), составленные на основе CobiT [2];

• ГОСТ 15 408 — «Критерии оценки безопасности информационных технологий», который рассматривает частный вопрос аудита, раскрываемый CobiT;

• опыт аудита в энергетике.

Учитывая, что аудит ИC так или иначе основывается на международных стандартах, рассмотрим содержание основных из перечисленных нормативных документов.

Международные стандарты ISO

Для проведения аудита информационной системы компании-аудиторы в основном опираются на международный стандарт ISO/IEC 17799:2000 «Управление информационной безопасностью — Информационные технологии (Information technology — Information Security Management)», а также на стандарт ISO 15 408-99 «Общие критерии». Эти стандарты охватывают следующий круг вопросов [3]:

№ 1(19)2009

• необходимость обеспечения информационной безопасности компании;

• основные понятия и определения информационной безопасности;

• политика информационной безопасности компании;

• организация информационной безопасности на предприятии;

• кадровый менеджмент и информационная безопасность;

• разделение ролей и обязанностей, обеспечение информационной безопасности;

• физическая безопасность;

• управление бизнес-процессами компании с точки зрения информационной безопасности;

• политика информационной безопасности компании при чрезвычайных ситуациях;

• обеспечение стабильности работы корпоративной вычислительной сети;

• обеспечение корректной обработки данных при пакетной обработке;

• управление доступом;

• администрирование корпоративной вычислительной сети;

• обслуживание серверов, хранилищ баз данных;

• внутренний аудит информационной безопасности компании.

В процессе аудита необходимо проверить все эти аспекты. В свою очередь, процесс аудита информационной системы компании должен начинаться с подготовки детальных и подробных планов. Планы должны быть предоставлены соответствующим лицам проверяемой компании до начала процедуры аудита. После этого начинается проверка нормативно-правовой документации компании. Проверяемая документация включает:

• политику информационной безопасности;

• положение об отделе информационных технологий;

• должностные инструкции работников отдела информационных технологий;

• описание методик оценки и управления информационными рисками.

Целью аудитора является аргументированное обоснование имеющихся отклонений информационной безопасности от требований стандарта

ISO 17 799. По завершении аудита выявленные несоответствия желательно устранить.

Стандарт CobiT

В настоящее время аудиторскими компаниями образованы различные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в области информационных технологий [3]. Самой авторитетной из них является ISACA.

Основанная в 1969 году ассоциация в настоящее время объединяет более 23 000 членов из ста стран, в том числе из России. ISACA координирует деятельность аудиторов информационных систем (CISA — Certified Information System Auditor), имеет свою систему стандартов, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции. Целью ассоциации является исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем [3].

Ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. Концепция изложена в документе под названием CobiT, состоящем из четырех частей [5]:

• часть 1 — краткое описание концепции управления информационными технологиями (Executive Summary);

• часть 2 — основные понятия и определения (Framework);

• часть 3 — спецификации управляющих процессов и возможный инструментарий (Control Objectives);

• часть 4 — рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Аудиторские компании используют рекомендации, изложенные в четвертой части. В ней описаны основные этапы аудита [3]:

1. Подписание договорной и исходно-разрешительной документации. На этом этапе ус-

Ю

¡"4

39

№ 1(19)2009

а

5

0

1

>а

8 »

а S

а

m

IS

I

f

u &

s

I s

>a

0

1 §

a sr a € 8! a

I 1 IS

sr a

3

1

танавливаются ответственные лица со стороны заказчика и аудиторской компании, а также рамки аудита.

2. Сбор информации с применением стандарта CobiT. Здесь указываются контролируемые элементы информационной системы. Выполнение требований стандартов контролируется ассоциацией ISACA. Основные требования ISACA к информации включают в себя:

• внятность;

• уместность (включает в себя существенность и своевременность);

• достоверность.

3. Анализ исходных данных. Проводится с учетом достоверных исходных данных на основе методики, описанной в CobiT или на основе методик членов ISACA. В данном случае аудиторская компания может разработать свою методику анализа исходных данных, и адаптировать ее под конкретные проекты, в том числе проекты аудита компаний энергетической отрасли.

4. Выработка рекомендаций. Полученные в ходе анализа рекомендации должны быть согласованы с заказчиком, проверены на выполнимость и оформлены в виде отчета о текущем состоянии информационной системы.

5. Контроль за выполнением рекомендаций включает в себя отслеживание аудиторской компанией выполнения рекомендаций в ходе проведения промежуточных аудиторских проверок.

6. Подписание отчетных актов приемки.

Выполнение проверок на каждом из этапов

рекомендации должно осуществляться в соответствии с существующими методиками. Этих методик придерживаются все организации ISACA. В то же время эта компания разработала и внедрила ряд собственных методик, дополняющих рекомендации CobiT. В связи с этим часто говорят о существовании целой методологии. При этом принципиально важным является то, что в процессе аудита ИС больше внимания уделяется аудиту реализации процессов, нежели аудиту реализации конкретных функций и программ-приложений [7].

Суть методологии аудиторских компаний в том, что ИС предприятия надлежит отвечать всем предъявляемым требованиям и быть

адекватной всем бизнес-процессам предприятия, что является главным аргументом в ее пользу.

Разработка программного обеспечения

автоматизации аудита ИС предприятия энергетической отрасли

Основные функции аудиторской ИС должны быть реализованы в ее программном обеспечении (ПО), которое, в свою очередь, должно отвечать ряду сформулированных требований.

Разработка требований

К ПО предъявляется ряд общих и специальных требований. К общим требованиям относятся [7]:

• целевая эффективность;

• продуктивность;

• конфиденциальность;

• целостность;

• пригодность;

• согласованность;

• надежность.

Раскроем каждое из этих требований [7].

Под целевой эффективностью понимается степень выполнения ИС своих целевых (основных) задач.

Продуктивность — использование ПО для оптимального количества ресурсов.

Конфиденциальность предполагает обеспечение защиты информации при работе с ПО.

Целостность — точность, полнота и достоверность информации в соответствии стребо-ваниями бизнеса.

Пригодность предполагает, что информация должна быть предоставлена по требованию бизнес-процессов.

Под согласованностью понимается соответствие законам, нормативной документации и договорным обязательствам.

Требование надежности состоит в его способности выполнять заданные функции,сохраняя свои основные характеристики [1].

Очевидно, что главным требованием к ПО аудита ИС является требование целевой эффективности, т. е. полноты выполнения ИС своих ос-

40

№ 1(19)2009

новных задач. Это требование в значительной степени может быть выполнено, если при разработке системы в полной мере учтены требования стандартов СоЫТ. В соответствии с рекомендациями этого стандарта аудит любой ИС сводится к таковому в четырех направлениях [5,6]:

1. Соблюдение норм и правил при разработке ПО;

2. Соблюдение норм и правил при внесении изменений в существующее ПО;

3. Организация управления деятельностью предприятия в области компьютерной обработки данных;

4. Организация управления информационной безопасностью.

Этап аудита соблюдения норм и правил при разработке ПО

Этап аудита соблюдения норм и правил при разработке ПО предполагает проверку правильности выполнения работ на стадиях [5]:

• инициации проекта ИС;

• определения требований к ИС;

• техно-рабочего проектирования (ТРП) ИС;

• тестирования;

• наполнения базы данных (БД) и конвертации;

• внедрения ИС;

• обучения персонала и документирования ИС.

Раскроем содержание аудиторской проверки на каждой из стадий.

Стадия инициация проекта ИС

На этой стадии аудитор должен ответить на вопросы:

• какая методология разработки применяется в Компании, из каких этапов состоит типичный план проекта;

• как осуществляется мониторинг выполнения проекта (структура проекта, периодичность отчетов о его выполнении);

• качество и полнота анализа на предпро-ектной стадии;

• качество и полнота эффективности проекта:

□ компетентность менеджеров проекта;

□ качество отбора и степень участия пользователей в проектировании ИС;

□ производится ли независимая оценка качества проведения проектов?

Стадия определения требований к ИС

• Степень участия руководства компании, конечных пользователей и персонала отдела информационных технологий в проектировании ИС.

• Как и кем расставляются приоритеты при наличии противоречивых требований к системе?

• Как авторизуются и контролируются изменения к начальным требованиям?

Стадия

техно-рабочего проектирования ИС

• Вовлечение (в достаточной степени) руководителей, пользователей и персонала отдела информационных технологий в подготовку спецификации или разработку дизайна систем, разрабатываемых собственными силами.

• Правила организации тендеров при выборе ИС.

• Степень участия ответственных представителей заказчика в разработке ИС.

• Критерии проверки адекватности функций, реализуемых ПО, действующим бизнес-процессам предприятия.

• Наличие и качество средств диагностирования ИС.

• Наличие и интенсивность системы контроля над деятельностью сторонних разработчиков ИС в процессе ее сопровождения.

• Наличие и качество систем контроля над проектированием ИС; контроль расходования средств.

Стадия тестирования

• Выполняется ли тестирование собственных разработок персоналом отдела информационных технологий и пользователями.

• Степень соответствия ПО сторонних разработчиков требованиям и целям бизнеса.

• Выполняется ли тестирование изменений, вносимых после общего (первоначального) тестирования.

• Как документируются результаты тестирования?

I

ю

¡>4

е

41

№ 1(19)2009

а

5

0

1

>а

8 »

а Р

а

т

I

I

ш &

I £

>а

0

1 §

а гг а € 8-

а

I 1

гг а

3

1

• Возможны ли изменения в программном обеспечении после выполнения всех необходимых процедур тестирования (до переноса в продуктивную среду)?

Стадия наполнения БД и конвертация данных

• Как контролируется процесс конвертации:

□ операционных данных в старых системах;

□ справочников;

□ данных, отсутствовавших в старых системах (при наличии таковых)?

• Проводится ли пользователями и персоналом отдела информационных технологий тестирование данных после конвертации?

Стадия внедрения ИС

Предполагается, что ИС сначала тестируется в некоторой специальной программно-аппаратной среде. После завершения тестирования ИС должна быть перенесена в реальную среду, называемую продуктивной. Этот процесс также подвергается аудиту. Нужно решить следующие вопросы:

• Какая информация используется для принятия этого решения?

• Применяются ли планы переноса изменений?

• За счет чего обеспечивается последняя версия (установленная) программного кода для группы поддержки системы (для собственных разработок)?

• Итоги опытной эксплуатации ИС.

Стадия обучения персонала и документирования ИС

• Как проводится обучение пользователей?

• Обеспечиваются ли пользователи документацией (руководствами, инструкциями и т.д.)?

• Доступна ли пользовательская и техническая документация во время внедрения ИС?

• Степень участия разработчиков в составлении технической документации.

Этап аудита соблюдения норм и правил при внесении изменений в ПО

Аудит соблюдения норм и правил при внесении изменений в ПО включает отдельные

проверки правильности выполнения работ на следующих стадиях [6]:

Стадия организации процесса внесения изменений в ПО

В процессе проверки на этой стадии необходимо получить ответы на вопросы:

• как организован процесс внесения изменений в системы финансово-экономического блока;

• как утверждается внесение изменений в системы;

• как отслеживается функциональное соответствие программного обеспечения требованиям бизнеса, какие отчеты и другая информация используется для этого;

• насколько руководство предприятия вовлечено в тестирование изменений в системе;

• какие отчеты по результатам тестирования доступны руководству предприятия?

Стадия спецификации, авторизации и отслеживания запросов на изменение ПО при эксплуатации

• В достаточной ли мере организовано взаимодействие разработчиков с пользователями?

• Из каких источников разработчики получают запросы на изменение ПО?

• Какие процедуры обеспечивают корректную интерпретацию разработчиками запросов на изменение ПО?

• Как протоколируются и отслеживаются запросы на изменение?

• Кем утверждаются запросы на изменение и расставляются приоритеты? Как это фиксируется?

• Каковы процедуры контроля над своевременностью внесения изменений?

Стадия тестирования изменений, внесенных в ПО

• Отделена ли среда разработки от продуктивной среды?

• Какая методика тестирования применяется разработчиками?

• Проводится ли тестирование незначительных изменений?

42

№ 1(19)2009

• Полнота и качество тестирования значительных изменений (включая тестирование пользователями).

• Чем обеспечивается изолированность продуктивной среды?

Стадия авторизации переносов в продуктивную среду (включая экстренные доработки и доступ разработчиков в продуктивную среду)

• Кем производится перенос изменений?

• Имеют ли разработчики доступ в продуктивную среду?

• Как пользователи/владельцы данных авторизуют внесение экстренных доработок/ исправлений в программное обеспечение или данные?

• Каким образом протоколируется доступ разработчиков при проведении экстренных доработок?

Стадия обучения персонала и документирования ИС

• Полнота, актуальность и доступность пользовательской документации.

• Насколько регулярно обновляется пользовательская документация?

• Опыт и квалификация сточки зрения обучения пользователей.

• Как организовано обучение пользователей?

Стадия администрирования баз данных

Какие процедуры обеспечивают целостность баз данных, используемых системами финансово-экономического блока?

Этап организации управления деятельностью предприятия в области компьютерной обработки данных

Этап аудита организации управления деятельностью предприятия в области компьютерной обработки данных включает отдельные проверки правильности выполнения работ на следующих стадиях [5].

Стадия аудита уровня обслуживания (сервиса) пользователей ИС

• Разработан ли документ, устанавливающий уровень обслуживания пользователей ИС

(время выполнения заявки, время простоя, обеспечение пользователей резервным оборудованием)?

• При использовании сторонних сервисных предприятий оговорены ли в контракте с ними требования к уровню обслуживания, а также требования в области безопасности?

Стадия аудита распределения ролей

и обязанностей при сопровождении ИС

• В чьи обязанности входит проведение резервного копирования и восстановления данных?

• Кто отвечает за поддержку системного программного обеспечения?

• Какими процедурами обеспечивается наличие необходимой технической документации и достаточная квалификация персонала, проводящего резервное копирование и поддержку системного программного обеспечения?

Стадия аудита обеспечения непрерывности деятельности

• Разработаны ли в Компании такие документы, как план по обеспечению непрерывности деятельности и план действий на случай чрезвычайной ситуации?

• При наличии подобных документов, как часто они обновляются и тестируются?

Стадия аудита управления корпоративной вычислительной сетью (КВС)

• Доступна ли для использования документация по КВС?

• Как утверждаются, контролируются и тестируются изменения архитектуры КВС?

• Каковы процедуры контроля над емкостью каналов передачи данных и производительностью сети?

Стадия аудита мониторинга

производительности компьютерных систем и контроля соответствия установленным процедурам

• Кто осуществляет мониторинг производительности компьютерных систем? Какая информация используется для анализа и как часто он проводится?

I

ю

¡>4

е

43

№ 1(19)2009

а

5

0

1

>а

8 »

а Р

а

т

I

I

ш &

I

Р

>а

0

а §

а гг а € 8

а

1 1

гг а

3 1 I

5

«о

• Были ли отмечены какие-либо проблемы с производительностью систем в аудируемом году?

• Отмечались ли случаи несоответствия установленным процедурам?

Этап аудита организации управления информационной безопасностью

Этап аудита организации управления информационной безопасностью включает отдельные проверки правильности выполнения работ на следующих стадиях.

Стадия аудита администрирования логического доступа на уровне сетевых операционных систем

• Имеет ли каждый пользователь/администратор уникальную учетную запись?

• Как контролируется появление новых пользователей?

• Каковы процедуры изменения прав и полномочий пользователей при их перемещении между отделами/подразделениями Компании или увольнении?

• Каким образом предотвращается несанкционированный доступ к операционной системе через учетные записи, поставляемые вместе с системой?

• Идентифицируются ли неактивные учетные записи с целью снижения риска несанкционированного доступа с их помощью?

• Проводится ли периодическая сверка прав и полномочий пользователей в системе с их должностными обязанностями?

• Какая парольная политика установлена для пользователей (минимальная длина пароля, периодичность смены паролей, автоматическое блокирование учетных записей при неправильном вводе пароля)?

• Какова структура групп пользователей и принципы распределения пользователей по группам?

• Ограничено ли число одновременных подключений пользователей к системе?

• Ограничено ли использование системы по дням недели/времени суток?

• Используется ли защищенный паролем хранитель экрана (зсгеетауег) на рабочих станциях пользователей?

Стадия аудита администрирования логического доступа на уровне данных

• Степень защищенности файлов и папок на сетевых накопителях от несанкционированного доступа.

• Какие полномочия на доступ к файлам и папкам присваиваются по умолчанию?

• Какие сетевые папки являются общедоступными и какого рода информацию они содержат?

Стадия аудита администрирования

безопасности в прикладных системах финансово-экономического блока

• Как ограничен доступ к приложениям?

• Каковы парольные установки в прикладных системах?

• Ведется ли протоколирование в прикладных системах?

• Как контролируется установка новых пользователей в прикладных системах?

• Каковы процедуры изменения прав и полномочий пользователей при их перемещении между отделами/подразделениями Компании, или увольнении?

• Проводится ли периодическое сличение прав и полномочий пользователей в прикладных системах с их должностными обязанностями?

Стадия аудита системного администрирования

• Сколько сотрудников обладает администраторскими полномочиями в системах?

• Как контролируется использование администраторских учетных записей?

• Как часто изменяются пароли к администраторским учетным записям?

• Как контролируется использование системных утилит с расширенным доступом к системе?

Стадия аудита физической безопасности

• Насколько ограничен доступ к серверным помещениям?

• Каким образом защищены переносные носители информации?

• Насколько безопасно хранится системная документация?

• Каким образом осуществляется уничтожение неисправного/списанного компьютерного оборудования и носителей информации?

44

№ 1(19)2009

Стадия аудита контроля удаленного доступа

• Как аутентифицируются удаленные соединения?

• Какова структура доменов корпоративной сети?

• Используется ли dial-up доступ к сетевым ресурсам?

• Как аутентифицируются dial-up пользователи?

• Ограничена ли доступность dial-up по дням недели/времени суток?

• Как контролируется доступ через диагностические порты (если таковые используются для удаленной поддержки компьютерных систем)?

Стадия аудита внешних соединений (Internet)

• Насколько обосновано использование внешних соединений в Компании?

• Оговорены ли вопросы информационной безопасности с поставщиками услуг доступа в Internet?

• Как защищена электронная почта организации?

• Как разграничены корпоративная сеть и Internet?

• Как контролируется использование сети Internet сотрудниками Компании?

Таким образом, аудиторская проверка ИС любого предприятия сводится к процедурам получения ответов на вышеперечисленные вопросы. Очевидно, что большинство проверок носит формальный характер. Наибольшие трудности вызывает проверка соответствия функций, выполняемых ИС, бизнес-процессам предприятия [11]. Для достоверности аудита ИС в целом необходимо с особой тщательностью провести ее проверку именно в этом аспекте. Соответственно, не каждый аудитор осуществит такую проверку. Как минимум аудитор должен обладать необходимым уровнем знаний в предметной области, в данном случае — энергетической отрасли.

Для ускорения процесса обучения специалистов, а также с целью снижения требований к их квалификации в области энергетики, аудиторская ИС должна содержать соответствующую нормативно-справочную информацию

I

¡>4

и обеспечивать возможность простого доступа к ней. Примером такого рода документации может служить система стандартов по органи- ^ зации процесса закупок компании ОАО РАО «ЕЭС России».

Итак, аудиторская ИС направляет деятельность аудитора и обеспечивает его необходимыми сведениями. Разберем функционирование аудиторской ИС более подробно. Предположим, что такая система существует и реализована в виде ПО для персонального компьютера. Специалист-аудитор запускает это ПО и на экране монитора видит конкретные задания по каждой из требуемых проверок, в последовательности, обеспечивающей минимизацию временных затрат. При необходимости по каждой проверке аудитор может получить дополнительные сведения из нормативно-правовой БД.

Достоверность аудиторского заключения гарантируется полнотой заданий, формируемых ИС.

К особенностям функционирования такой ИС следует отнести способность формировать задания в строго определенной последовательности. По каждой из проверок результат представляется по системе «зачет-незачет». Важно, что система формирования обобщенной оценки предполагает четкую структуризацию проводимых проверок, их результатов. Например, оценка «зачет» по «проверке уровня доверия к процедуре управления информационной безопасностью» может выставляться только при одновременном наличии зачетов по следующим проверкам:

• общий контроль со стороны менеджмента;

• контроль запросов на предоставление доступа;

• логический доступ на уровне данных;

• доступ на уровне сетевых операционных систем (ОС);

• контроль удаленного доступа;

• контроль внешних соединений, физическая безопасность сетевых ресурсов.

Таким образом, все выполняемые проверки объединены в единую логически связную структуру. Для наглядного отображения таких структур обычно используют И-ИЛИ графы.

И-ИЛИ графы без циклов представляют собой деревья.

45

№ 1(19)2009

а

5

0

1

>а

8 »

а Р

а

m

IS

I

f

u &

s

I p

>a

0

a §

a sr a € 8

! a

1 1 IS

sr a

3

1

Разработка дерева решений аудиторской ИС

Необходимо отметить, что аудиторские проверки в принципе можно выполнять в произвольном порядке. Необходимость структуризации аудиторских проверок определяется правилами формирования обобщенной оценки, а также минимизацией временных издержек на проведение аудита ИС.

К сожалению, готовых рецептов оценивания ИС по результатам аудита не существует. Ранее упомянутым стандартом СоЫТ определен только состав проверок и никоим образом не определена их последовательность, поэтому разработка структуры проверок, т. е. разработка обобщающего правила оценки, была проведена автором самостоятельно — на основе многочисленных консультаций со специалистами-аудиторами и руководителями предприятий энергетической отрасли.

Для наглядности представления структуры проверок — дерева решений — были введены

Идентификатор аудиторской проверки

Описание аудиторской проверки

Подчиненная вершина

Рис. 1. Условное графическое обозначение вершины И-ИЛИ графа

специальные условные графические обозначения (УГО).

Вершина И-ИЛИ графа представлена на рис. 1.

Логические связи обозначаются между вершинами графа в виде дуг (рис. 2).

Дуга and соответствует операции конъюнкции или логическому «И» (рис. 2, п. 1). Она обозначает, что для формирования обобщенного результата необходимо выполнить операцию конъюнкции над значениями результатов предшествующих проверок, при условии, что значение «зачет» соответствует логическому значению True, «незачет» — False. Соответственно, дуга or означает необходимость реализации операции «ИЛИ» над значениями результатов предшествующих проверок (рис. 2, п. 2). Отношения предшествования на И-ИЛИ графе обозначаются стрелками (рис. 2, п. 3).

Соответственно описанной методологии, верхний уровень дерева отношений будет выглядеть так (рис. 3).

®

Рис. 2. Условное графическое обозначение логических связей

Рис. 3. Верхний уровень дерева отношений

46

В данном случае проверке Comfort предшествуют обозначенные идентификаторами Development, Changes, Operations, Access. Результат проверки Comfort вычисляется по логическому «И».

Структура проверки с идентификатором Development представлена на рис. 4.

№ 1(19)2009

■в

Следует отметить одну особенность. Для з «И» вершин выполнение всех предшествую- ^ щих проверок обязательно, для «ИЛИ» вершин ^ достаточно иметь одну успешную предшествующую проверку.

Development

Уровень доверия к процедуре разработки программного обеспечения удовлетворителен

D_management DJnitiation D_design D_construction D_testing D_convereion ^implementation D_training

Общий контроль со стороны менеджмента Инициация проекта Определение требований Системы поставщиков/ собственные разработки Тестирование систем Конвертация данных Перенос в рабочую среду Документация и обучение

1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8

Рис. 4. Структура блока Development

Результат проверки блока Development зависит от результатов восьми проверок.

Структуры прочих проверок представляются аналогичным образом.

Таким образом, в дополнение к рекомендациям CobiT необходимые проверки структурированы так, что однозначно определена процедура формирования обобщенного результата, а время на выполнение этих условий минимизировано при условии, что обход дерева решений будет производиться в соответствии с правилом: сначала в глубину, потом в ширину. Это правило обусловлено структурой дерева и проиллюстрировано рис. 5.

2( ) ( J3

Рис. 5. Правило обхода дерева решений

Методы реализации информационной системы «Эксперт-Аудит»

Обозначим разрабатываемую аудиторскую ИС как «Эксперт-Аудит».

В предыдущем разделе был разработан И-ИЛИ граф, отражающий структуру аудиторских проверок и описывающий процедуру аудиторского заключения.

Для непосредственной реализации аудиторской ИС необходимо обеспечить:

• представление разработанного И-ИЛИ графа в ЭВМ;

• реализацию процедуры обхода графа «сначала в глубину, потом в ширину» и формирование обобщенного результата в соответствии с графом.

Для представления графа в ЭВМ можно воспользоваться различными языковыми средствами. Так, например, путем использования ссылочных типов процедурных языков типа С или Pascal реализация И-ИЛИ графа не представляет особых сложностей. Несколько сложнее реализовать процедуру обхода графа. Однако следует отметить, что аудиторская ИСтак-

47

№ 1(19)2009

а

5

0

1

>а

8 »

а Р

а

m

IS

I

f

u &

s

I p

>a

0

a §

a sr a €

! a

1 1 IS

sr a

3

1

же должна обеспечить контекстный поиск необходимой нормативно-справочной информации. Для этого аудиторская ИС в своем составе должна иметь соответствующие средства доступа к ней.

Вышеназванные языковые средства, как правило, входящие в интегрированные среды разработки, обеспечивают также и разработку приложений для БД. Поэтому могут быть использованы для реализации аудиторской ИС.

Однако следует напомнить о наличии других средств, представляющих дополнительные возможности. К числу таких средств, в первую очередь, относятся системы программирования на языке Пролог.

Пролог-системы обладают всеми преимуществами экспертных систем [10]:

• сохранение накопленной методологии, подхода, знаний;

• использование систем для целей обучения;

• использование копий одной системы разными пользователями для сокращения временных и трудовых затрат;

• возможность работы с замысловатой информацией;

• схожие ситуации обрабатываются одним и тем же способом, что приводит кунификации метода выработки рекомендаций;

• стандартизация подхода к документированию процесса принятия решений;

• возможность производить общий обзор всего процесса принятия решений;

• все ошибки могут быть найдены своевременно и исправлены раз и навсегда;

• возможность объединения знаний нескольких экспертов;

• снижение общего риска проекта вследствие формализованного подхода.

Главной особенностью Пролог-систем является то, что с помощью их языковых конструкций-высказываний (Clauses) представление И-ИЛИ графов вообще не вызывает трудностей. Своего рода бесплатным приложением к Пролог-программе является соответствующая ей реляционная БД.

Элементарной языковой конструкцией в таких системах обычно служит предикат, с помощью которого описываются элементарные от-

ношения между какими-либо объектами. В СУБД аналогом предиката является реляционная таблица. В то же время о значении предиката можно говорить как о значении логической функции. Значение предиката, равное True — означает выполнение соответствующего ему отношения. Значение False соответствует невыполнению отношения.

Наиболее важным достоинством Пролог-систем является то, что в интерпретаторах этого языка процедура обхода И-ИЛИ графа, описанного предложениями языка Пролог, реализована.

В связи с этим, для реализации аудиторской ИС рекомендуется одна из Пролог-систем, например, Visual Prolog.

Вернемся к вопросу выбора названия разрабатываемой аудиторской системы. Обычно язык Пролог используют для реализации экспертных систем. Этим объясняется выбор названия «Эксперт-Аудит», хотя к экспертным системам разрабатываемую систему можно отнести с большой натяжкой. Дело в том, что обычно предложениями Пролога описываются причинно-следственные связи, а в нашей системе имеются в виду только отношения предшествования. Поэтому множество предложений, описывающих дерево решений аудиторской ИС, нельзя назвать полноценной базой знаний.

Оценка экономической эффективности системы «Эксперт-Аудит»

Для оценки экономической эффективности ИС в нашем случае следует руководствоваться общими положениями и использовать наиболее подходящую методику, которая адаптирована автором под систему «Эксперт-Аудит».

Проанализируем эффект от внедрения системы «Эксперт-Аудит», сточки зрения субъекта и объекта управления [6] (рис. 6).

Рис. 6. Взаимодействие субъекта и объекта управления

48

№ 1(19)2009

Субъект управления включает в себя совокупность функций контроля и анализа (менеджмент, информационные системы, методы управления и т. д.)

Объектом управления признаются непосредственно сотрудники, относительно которых менеджмент осуществляет контрольную функцию.

Таким образом, при разработке новых информационных систем должен выполняться «принцип новых задач», когда управление объектом упрощается и налицо экономия и для объекта, и для субъекта.

В нашем случае применение системы «Эксперт-Аудит» повысит эффективность аудита сточки зрения как пользователя,так и менеджмента, характеризуясь:

• сокращением временных затрат аудитора;

• предотвращением ошибок, связанных с человеческим фактором;

• повышением качества документации о проделанной работе;

• сокращением временных затрат на проверку менеджером выполненного проекта;

• снижением стоимости аудита;

• повышением конкурентоспособности компании.

При внедрении системы «Эксперт-аудит» по-вышаеся качество управления, непосредственно связанное с качеством информации, которое, в свою очередь, также повышается. Среди показателей качества информации:

• полнота (функциональность информационной системы);

• достаточная оперативность;

• достоверность;

• соответствие формы представления пожеланиям пользователей.

Выбранный вариант информационной системы «Эксперт-Аудит» отвечает заданным требованиям представления информации. Одновременно выполняется требование минимизации стоимостных затрат на обработку информации в субъекте и объекте управления.

Для того чтобы оценить размер издержек, связанных с новой информационной системой «Эксперт-Аудит», определим показатель стоимостных издержек, который будем использовать для ее оценки.

Среди показателей стоимостных издер- § жек наиболее часто используются следую- ^ щие [6]. ^

• Общая стоимость владения. Включает в себя затраты конечного пользователя: на обучение, потери при отказе информационной системы и т. д.

Плюс такого показателя в том, что здесь рассчитывается и общая стоимость использования информационной системы (за год), и стоимость каждого компьютера. Следовательно, у работников отдела информационных технологий есть возможность показать руководству, что затраты на информационную систему в данной компании меньше (больше), чем на аналогичную информационную систему в другом предприятии.

Минус — не учитывается разновременность затрат и результатов.

• Годовой экономический эффект

Э=Эг

ЕнК,

(1)

где Эгод — годовая экономия (прибыль), получаемая при использовании ИС; Ен — нормативный коэффициент эффективности капитальных вложений; К — единовременные (капитальные) затраты на создание ИС.

При использовании этого показателя эффективности для принятия решения о целесообразности создания ИС Э > 0.

Причем коэффициент К в условиях рыночной экономики обычно принимается равным ставке банковского кредита.

• Показатель ЫРМ Учитывает притоки и оттоки цен с коэффициентом дисконтирования во временном интервале. ЫРУ является основным показателем эффективности инвестиционных проектов.

Минусом данного показателя является то, что дифференцирование денежных потоков по временным интервалам (либо жизненному циклу информационной системы) зависит от массы исходных данных, сложности их получения и обработки.

Положительным моментом является то, что ЫРУ — динамический показатель, который учи-

49

№ 1(19)2009

а

5

0

1

>а

8 »

а Р

а

т

I

I

ш &

I

Р

>а

0

а §

а гг а €

а

1 1

гг а

3 1 I

5

«о

тывает как изменение параметров во времени, так и разновременность затрат и результатов.

• Показатель годовых приведенных затрат на информационную систему. Относится к числу статических показателей экономической эффективности. Здесь исходные параметры считаются постоянными. Недостатком данного показателя является то, что он не учитывает разновременности затрат и результатов. Преимуществом — не требует большого количества исходных данных.

Необходимо отметить, что в каждом конкретном случае следует использовать адаптированный подход, который будет учитывать специфику данной информационной системы. В связи с этим для каждого случая необходимо выбирать подходящий показатель эффективности, который может в себе сочетать элементы нескольких критериев.

Выбор показателя необходимо осуществлять на основе возможного эффекта от внедрения ИС аудита, полученного по следующим направлениям:

1. Сокращение времени на аудит ИС приводит к снижению себестоимости аудиторской проверки. К тому же за один и тот же промежуток времени количество проведенных аудиторских проверок может быть увеличено.

2. Разрабатываемую аудиторскую систему можно использовать как автоматизированное средство обучения аудиторов. В результате чего затраты на обучение аудиторов могут быть снижены.

3. Использование средств автоматизации аудита ИС существенным образом снижает риск формирования ошибочных заключений и величину возможных потерь от рекламаций.

Поэтому на всех возможных направлениях получения эффекта от внедрения ИС аудита в одной из компаний «большой четверки» следует воспользоваться показателем годового экономического эффекта, который учитывает все аспекты возможного эффекта. Однако этот показатель необходимо модифицировать под нашу конкретику. Таким образом, формула для расчета годовой экономии, получаемой при использовании ИС, приобретает вид:

-Эр,

где Эвр — годовая экономия вследствие снижения временных затрат на аудит; Эо — годовая экономия затрат на обучение персонала;

Эр — годовая экономия от снижения рисков от возможных рекламаций.

В свою очередь, Эвр характеризуется прямой экономией средств ДС вследствие снижения себестоимости аудита ИС.

ДС=С - Сис,

где С — себестоимость проведения аудита за год без использования ИС; Сис — себестоимость проведения аудита за год с использованием ИС.

Используя статистические данные, рассчитаем прямую экономию средств вследствие снижения себестоимости:

ДС = 15000 руб. - 3000руб.= 12000 руб.

Итак, прямая экономия средств за одну проверку составляет величину порядка 12 тыс. руб. За год компания обычно проводит порядка 500 проверок, тогда прямая экономия средств, вследствие снижения себестоимости, будет равна 6 млн руб. в год. Кроме того, за счет снижения времени количество проводимых проверок формально может быть увеличено до 5 раз. Тогда прямая экономия средств, благодаря снижению себестоимости может достигать 30 млн руб., т. е.

6 млн руб. < Эвр < 30 млн руб.

Для определения значения показателя годовой экономии затрат на обучение персонала Эо воспользуемся статистическими данными. Компания обучает 15 специалистов в год, затрачивая примерно 15 000 руб. на каждого. Эти средства выплачиваются специалисту-преподавателю. При внедрении аудиторской ИС как средства автоматизации процесса обучения необходимость в наличии преподавателя снижается. Обычно процесс обучения с преподавателем составляет 10 рабочих

50

№ 1(19)2009

дней. При использовании ИС аудита преподаватель принимает непосредственное участие в обучении лишь 3 дня. В этом случае годовая экономия затрат на обучение персонала будет составлять:

(10 дней — 3 дня)-15 000 руб. в деньх х15 (количество учеников в год) = = 105 000 руб. -15 = 1 575000 руб.

Для определения значения показателя годовой экономии от снижения рисков возможных рекламаций также воспользуемся статистическими данными. Обычно доля ошибочных заключений, вследствие которых клиенты подают рекламации, не превышает 1% от числа проведенных проверок, т. е. составляет примерно 1-2 рекламации в год. В случае рекламации клиенту должна быть возвращена сумма, равная стоимости ошибочных аудиторских проверок. В год эта сумма составляет примерно 90 000-180 000 руб.

Использование ИС аудита снижает риск ошибочных заключений практически до нуля, поэтому годовой экономии от снижения рисков возможных рекламаций будет составлять 90 000-180 000 руб.

Значение суммарного экономического эффекта будет лежать в интервале:

7 665 000 руб. < Эгод < 31 755 000 руб.

Приведенные значения не учитывают затрат, связанных с разработкой и сопровождением аудиторской ИС. Эти затраты учитываются коэффициентом единовременных (капитальных) затрат на создание ИС (К) и нормативным коэффициентом эффективности капитальных вложений (Ен).

Значение коэффициента единовременных затрат на создание ИС рассчитывается следующим образом. Во-первых, нужно учесть трудозатраты на создание ИС. Они составляют 300 человеко-часов, что в денежном выражении составляет 56 000 руб.

Сюда же необходимо отнести затраты на приобретение лицензированного ПО и на получение патента на готовый продукт. Стоимость Пролог-систем лежит в интервале от

24 000 до 120 000 руб. Все остальные затраты незначительны.

Таким образом, значение коэффициента единовременных затрат на создание ИС лежит в интервале:

200 000 руб. < К < 250 000 руб.

Нормативный коэффициент эффективности капитальных вложений в условиях рыночной экономики считают равным ставке банковского кредита, которая лежит в интервале от 15-17%. Таким образом, значение годового экономического эффекта рассчитывается с помощью формулы (1) и определяется диапазоном:

7 635 000 руб. < Э < 31 695 000 руб.

Таким образом, годовой экономический эффект при внедрении аудиторской ИС положителен.

СПИСОК ЛИТЕРАТУРЫ

1. Информационно-энциклопедический портал (http:Zwww.rubricon.com).

2. Стандарты аудита информационных систем: Standards of Information Systems Auditing. ISACA Standards, 2000 (http:Zwww.isaca.org).

3. ISO 17799 — «Неформальный подход к разработке политики безопасности».

4. Петренко С. А., Петренко А. А. Аудит безопасности Intranet. M.: ДМК Пресс, 2002.

5. CobiT: Control Objectives. ISACA, 2000.

6. CobiT: Framework. ISACA, 2000.

7. CISA Review Manual — руководство сертифицированного аудитора информационных систем, 2006.

8. ГузикС. SACA.ru ((http:Zdtforum.ncstu.ru/consulting/ standart_cobit).

9. Ведомости. 2006. № 83(1610). 11 мая.

10. БраткоИ. Алгоритмы искусственного интеллекта на языке PROLOG. M.-СПб-Киев.: Вильямс, 2004.

11. Азрилиян А. Н. Большой экономический словарь. M.: Институт новой экономики, 2004.

12. Кузнецова Е. В., СотниковаЛ.В. Аудит системы внутреннего контроля в среде компьютерной обработки данных. M.: Юнити-Дана, 2004.

13. Русский Гуманитарный Интернет-Университет, словари и справочники (http:Zwww.i-u.ru).

I

Ю

¡>4

е

51