4.2. ИТ-аудит как проверка соответствия информационной системы бизнес задачам компании
©Ситнов А. А.а, ©Бареева Б. Р.ь Финансовый университет при Правительстве Российской Федерации, г. Москва, Российская Федерация ае-таН: [email protected] ье-таМ: [email protected]
b
b
Аннотация. Задача. В статье раскрывается сущность ИТ-аудита бизнес-процессов, оцениваются самые важные показатели работы системы. Модель. В рамках исследования были рассмотрены вопросы ИТ-аудита, риски, а также как ИТ-аудит выявляет и оценивает средства контроля. В этой среде понимание и управление этими рисками абсолютно необходимо для успеха организации. Ключевым элементом этих усилий должна быть хорошо спланированная и организованная деятельность по аудиту ИТ, которая начинается с создания, опыта и возможностей сильной функции аудита ИТ. Выводы. Проведение ИТ-аудита позволяет компаниям узнать, работают ли их системы эффективно и достигают ли они целей и задач своей организации. Однако это можно сделать, оценив эффективность системы компании. В случае возникновения проблемы ИТ-аудитор помогает организации создать более эффективную операционную систему. Практическое значение. Исследования показали, что ИТ-аудит помогает улучшить все коммуникации между бизнесом компании и технологическим управлением, является одним из самых полезных инструментов для защиты своих активов и эффективности компании. Хотя это не гарантирует, что компания соблюдает ИТ-стандарты, оно защищает предприятие от различных рисков, связанных с ИТ-системой. Кроме того, благодаря ИТ-аудиту будут выявлены области неэффективности, а также будут сэкономлены время и деньги. Оригинальность. Результат ИТ-аудита даст возможность определить, соответствует ли ИТ-инфраструктура основным задачам бизнеса, получить рекомендации по оптимизации ее работы и спланировать дальнейшее развитие.
Ключевые слова: стандарты ИТ аудита, ИТ-аудит, аудит информационных технологий.
Для цитирования: Ситнов А. А., Бареева Б. Р. ИТ-аудит как проверка соответствия информационной системы бизнес задачам компании // Проблемы экономики и юридической практики. 2020. Т. XVI. №2. С. 98-101.
Abstract. Task. The article reveals the essence of IT audit of business processes, evaluates the most important indicators of the system. Model. The study examined IT audit issues, risks, and how IT audit identifies and evaluates controls. In this environment, understanding and managing these risks is absolutely essential for the success of the organization. A key element of this effort should be a well-planned and organized IT audit activity, which begins with the creation, experience and capabilities of a strong IT audit function. Summary. Carrying out an IT audit allows companies to find out if their systems work efficiently and whether they achieve the goals and objectives of their organization. However, this can be done by evaluating the effectiveness of the company's system. In the event of a problem, the IT auditor helps the organization create a more efficient operating system. Practical importance. Studies have shown that IT audit helps to improve all communications between the company's business and technology management and is one of the most useful tools for protecting its assets and company's effectiveness. Although this does not guarantee that the company complies with IT standards, it protects the company from various risks associated with the IT system. In addition, areas of inefficiency will be identified through IT auditing, and time and money will be saved. Originality. The result of the IT audit will make it possible to determine whether the IT infrastructure meets the main objectives of the business, receive recommendations on optimizing its work and plan further development. Keywords: IT audit standards, IT audit, audit of information technology.
For citation: Sitnov A. A., Bareeva B. R. IT audit as a check of compliance with the requirements of the company's business objectives system // Economic problems and legal practice. 2020. Vol. XVI. №2. P. 98-101.
IT audit as a check of compliance with the requirements of the company's business objectives system
©A. A. Sitnov3, ©B. R. Bareevab Financial University under the Government of the Russian Federation, Moscow, Russian Federation
ae-mail: [email protected] be-mail: [email protected]
b
b
Ситнов А. А., Бареева Б. Р.
ИТ-АУДИТ КАК ПРОВЕРКА СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ БИЗНЕС ЗАДАЧАМ КОМПАНИИ
ВВЕДЕНИЕ
Информационные технологии пустили корни в самое сердце бизнеса, а ключевые игроки на рынке давно поняли, что без использования современных ИТ-инструментов их позиции рискуют сильно пошатнуться. Теперь успешность компании определяется не только качеством оказания услуг и уровнем продаж, но и степенью задействования новых технологий. Эта закономерность работает в обе стороны: крупные и успешные компании используют ИТ, а использование ИТ повышает шансы на успех. Однако наличие ИТ-инфраструктуры, пусть даже очень масштабной и современной, еще ничего не гарантирует.
РОЛЬ ИТ-АУДИТА В ИНФОРМАЦИОННОЙ СИСТЕМЕ
ИТ-аудит - это комплексное изучение, оценка и анализ текущего состояния ^-инфраструктуры предприятия. Поскольку ИТ играют важную роль для организаций и предприятий, проведение ИТ-аудита стало довольно актуальным.
В современном цифровом мире использование компьютеров также стало заметным практически во всех сферах нашей жизни, что порождает многочисленные проблемы и увеличивает киберпреступность.
ИТ-аудит оценивает информационные системы организации и имеющиеся меры защиты для защиты этих систем. ИТ-аудит охватывает широкий спектр ИТ-процессов и инфраструктуры связи, включая программные приложения, веб-службы, операционные системы, системы безопасности, а также сети и системы клиент-серверов.
Аудит ИТ в основном бывает трех видов: аудит эффективности, соответствие применимым законам, стандартам и политикам, а также аудит финансовой отчетности. Основная цель проверок состоит в том, чтобы увидеть, есть ли какие-либо неточности и неэффективность в управлении и использовании ИТ-системы бизнеса. [1]
Эта система сначала идентифицирует риски в организации, а затем оценивает их с помощью передовых средств контроля проектирования, что позволяет компаниям найти подходящее решение для устранения угроз. Таким образом, ИТ-аудит имеет решающее значение для компаний и предприятий, стремящихся защитить свою ИТ-систему, а также ценные данные и информацию.
ИТ-аудит не только оценивает риски, но также выявляет и оценивает средства контроля. В результате, неэффективные или плохо разработанные средства управления могут быть реструктурированы и усилены. Используя различные структуры, ИТ-аудиторы смогут доверять эффективности и результативности деятельности компании, точности и достоверности предоставляемой финансовой информации, а также соблюдению применимых правил и политик.
В этой среде понимание и управление этими рисками абсолютно необходимо для успеха организации. Ключевым элементом этих усилий должна быть хорошо спланированная и организованная деятельность по аудиту ИТ, которая начинается с создания, опыта и возможностей сильной функции аудита ИТ.
Таким образом, если ваш бизнес сталкивается с проблемами в борьбе с потенциальными рисками, то ИТ-аудит может быть идеальным решением.
Обычно ИТ-аудит покрывает риски, связанные с целостностью, конфиденциальностью и доступностью ИТ-инфраструктуры и процессов. Дополнительные риски, включая эффектив-
ность, результативность и надежность ИТ, также могут быть решены путем регулярного выявления и оценки рисков в компании. После оценки рисков ИТ-команде предоставляется четкое видение организации о том, какие действия предпринять для устранения, уменьшения или принятия этих рисков как части рабочей среды с помощью средств контроля ИТ-аудита.[2] Кроме того, без какой-либо системы аудита или внутреннего контроля организация не сможет решить, как распределить свои ресурсы, и узнать, какие из ее продуктовых линеек являются прибыльными, а какие - нет.
Лучшие практики в области ИТ-рисков, используемые аудиторами, - это структуры ISACA COBIT, RiskIT и ISO / IEC 27002 «Свод практических правил управления информационной безопасностью».
ИТ-аудит также помогает компаниям в предотвращении мошенничества. Периодический анализ деятельности компании и внедрение строгих систем внутреннего контроля могут предотвращать и выявлять различные формы мошенничества и другие нарушения в бухгалтерском учете. Специалисты по аудиту помогают в разработке и модификации систем внутреннего контроля, целью которых является предотвращение мошенничества.
Цели ИТ-аудита:
- Анализ текущего состояния ИТ-систем организации
- Оценка соответствия настроек и методик лучшим практикам IT-отрасл и
- Выявление существующих и потенциальных рисков и угроз
- Выявление способов сокращения расходов на обслуживание существующей ИТ-инфраструктуры
- Выявление способов повышения эффективности работы
- Выработка рекомендаций по оптимизации IT-инфраструктуры и приведению ее в соответствие с бизнес-процессами компании.
Чаще всего задачи ИТ-аудита концентрируются на обосновании того, что внутренние средства контроля существуют и функционируют, как ожидается, для минимизации бизнес-рисков. Эти цели аудита включают обеспечение соответствия законодательным и нормативным требованиям, а также конфиденциальность, целостность и доступность информационных систем и данных.
ИТ-инфраструктура должна соответствовать бизнес-задачам и работать на их выполнение. Чтобы проверить ИТ на соответствие бизнес-задачам достаточно провести аудит. Проверять можно, как всю систему (комплексный аудит), так и отдельные ее компоненты. Основной задачей аудита является не просто проверить, как работает ИТ-инфраструктура, а выяснить, отвечает ли она поставленным задачам. [3]
В ходе аудита оцениваются самые важные показатели работы системы: эффективность, отказоустойчивость, продуктивность, гибкость, защищенность и многое другое.
Для наглядности рассмотрим кейс с условной компанией, которая активно развивается. Более того, с работоспособностью IT-инфраструктуры напрямую связаны основные бизнес-процессы компании и даже план ее стратегического развития. Главный офис находится в Москве, а недавно открылись новые филиалы - как в российских, так и в европейских городах. Разница во времени между некоторыми филиалами составляет несколько часов. При этом всем офисам нужно держать постоянную связь, управлять работой специалистов в разных географических точках, быстро обмениваться информацией и вести общую базу данных. Прежде всего для это необходимо проверить, сможет ли существующая IT-инфраструктура работать в новых условиях и оценить текущую эффективность, безопасность и отказоустойчивость на
соответствие новым требованиям бизнеса, а также подобрать методы оптимизации ИТ-инфраструктуры для выполнения стратегического плана развития.
В качестве результатов ИТ аудит позволит получить качественные и количественные показатели работы ИТ-инфраструктуры, обнаружить проблемные зоны, снижающие эффективность работы системы, составить актуальный план реорганизации ИТ системы компании и техническое задание, согласно которому необходимо развивать данную инфраструктуру.
Отсутствие понимания актуальности инфраструктуры часто ведет к самым печальным последствиям: неожиданным сбоям, непредвиденным тратам, невыполненным планам. Те же, кто хочет сохранить и укрепить свои позиции на рынке, всегда держат руку на пульсе - они вложили много сил и ресурсов в ИТ и всегда на шаг вперед хотят знать, отвечает ли созданная система требованиям и задачам бизнеса.
Планирование ИТ-аудита включает в себя два основных этапа. Первый шаг - сбор информации и планирование. Второй шаг - понимание существующей структуры внутреннего контроля. Все больше организаций переходят на аудиторский подход, основанный на оценке риска, который используется для оценки риска и помогает ИТ-аудитору принять решение о том, проводить ли тестирование на соответствие или основательное тестирование.[2] В подходе, основанном на оценке риска, ИТ-аудиторы полагаются на внутренний и операционный контроль, а также на знания компании или бизнеса. Этот тип решения по оценке риска может помочь связать анализ затрат и результатов контроля с известным риском. На этапе «Сбор информации» ИТ-аудитору необходимо определить пять пунктов:
- знание бизнеса и промышленности
- результаты аудита за предыдущий год
- недавняя финансовая информация
- нормативные акты
- оценка неотъемлемого риска
Вопросу аудита и внутреннего контроля за информационными системами посвящен зарубежный стандарт аудита - ОзЫ^ В нем отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях компьютерной обработки данных, техника проведения аудита с учетом использования современных информационных технологий. [4]
Результаты ИТ-аудита компании классифицируются на три группы (Рис. 1).
Организационные
планирование, упраппоиио. документооборот ф у Н 11И О Н И Г.1 П R й н и я
информационной
СЬОИ, И оптимизация райоти элементен ИО,
Методол о гич век и е
подходи >: рошомрю приблаынык олуяцйЯ, Vi itMurwi iwu и iuhiii;wm. иСщын у| 10 ундичи чтк;р ь и t Г[*УК1 УРШЭДИ!!
Рисунок 1. Результаты ИТ-аудита по группам. Составлено автором.
Эффективность работы информационных систем оценивается в рамках оценки эффективности ИТ процессов и соответствие этих процессов стандартам и лучшим практикам (ОэЬП", П Govemance,Val тц ITSM, PMBok, Prince2).
На мой взгляд, в оптимизации ИТ можно выделить четыре основных этапа (Рис. 2).
Рисунок 2. Основные этапы оптимизации ИТ. Составлено автором.
Достоинства методики заключаются в хорошей визуализации результатов и их понятности бизнес-руководству, а оценку потенциала оптимизации каждого из элементов ИТ можно проводить долго и сложно, так как возможности улучшения ИТ-процессов или сетевой инфраструктуры сильно зависят от размера компании и отрасли, а также существенно меняются каждые 5-7 лет.
Также предполагается, что люди, проводящие оценку потенциала оптимизации ИТ, должны быть весьма квалифицированы как в ИТ, так и в бизнесе. Они должны знать как компанию, для которой проводится оценка, так и другие компании данной отрасли. Также важно сделать объективные оценки, что сложно для своей ИТ-службы. Это не типовая трактовка потенциала оптимизации каких-то элементов ИТ.
Далее рассматривается оценка потенциала, определение приоритетов развития ИТ и проекты по ИТ, исходя из требований бизнеса к ИТ и сравнения с конкурентами. Сравнение с различными рекомендациями по отдельным элементам ИТ тоже хорошо бы периодически делать, но уже после подстраи-вания ИТ под цели бизнеса.
В качестве примера разберем Стандарт COBIT, который охватывает 34 ИТ-процесса, сгруппированных по следующим направлениям [4]:
1. Планирование и организация (10 процессов);
2. Проектирование и внедрение (7 процессов);
3. Эксплуатация и сопровождение (13 процессов);
4. Мониторинг (4 процесса).
В совокупности перечисленные 4 группы содержат 302 объекта контроля. Все ресурсы, используемые объектами контроля, оцениваются с точки зрения их соответствия критериям, которые логически вытекают из бизнес-задач организации. Перечень этих критериев (эффективность, технический уровень, безопасность, целостность, пригодность, согласованность, надежность) совпадает с критериями оценки деятельности организации в целом. Для количественной и качественной оценки по критериям широко используется сравнение с лучшими мировыми показателями (на основании модели зрелости). Все это в совокупности обеспечивает полную, объективную и актуальную информацию о текущем состоянии ИТ, возможных решениях по изменению ситуации, перспективах и рисках их реализации.
ВЫВОДЫ
Таким образом, ИТ-аудит бизнес-процессов необходим, когда бизнес-процессы не регламентированы либо появляются новые направления бизнеса, не развиты коммуникации между отделами, отсутствует стратегия развития информационных систем предприятия или также, когда на предприятии уже внедрены информационные системы.
Статья проверена программой «Антиплагиат». Оригинальность 78,95%.
Ситнов А. А., Бареева Б. Р.
ИТ-АУДИТ КАК ПРОВЕРКА СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ БИЗНЕС ЗАДАЧАМ КОМПАНИИ
Список литературы:
1. Аверченков В.И. Аудит информационной безопасности: учеб. пособие для вузов, - 3-е изд., - Москва. : ФЛИНТА, 2016. С. 269
2. Двойнишников Н.Э., Исламутдинова Д.Ф. Понятие и сущность аудита безопасности информационных систем // Московский экономический журнал. №2/2019.
3. Клочкова Т.В. Роль аудита информационных технологий в информационной безопасности// Компьютерные и информационные науки. 2019
4. Ситнов А.А. Стандарт СоЬИ:: новые возможности российского аудита // Аудиторские ведомости, - № 6, - 2012., - с. 44 - 56.
5. Ситнов А. А. Организация аудита информационной безопасности// Учет. Анализ. Аудит. №6/2016. С. 102 - 110
6. Ситнов А.А., Уринцов А.И. Аудит информационных систем: монография для магистров / А.А. Ситнов, А.И. Уринцов. - М.: ЮНИТИ-ДАНА, 2014.
ИНФОРМАЦИЯ ОБ АВТОРАХ
Ситнов Алексей Александрович, доктор экономических наук, профессор Департамента учета, анализа и аудита, Финансовый университет при Правительстве Российской Федерации, г. Москва, Российская Федерация, https://orcid.org/0000-0003-2221-4037, e-mail: [email protected] Бареева Баху Рамазановна, факультет «Бизнес-анализ и аудит», Финансовый университет при Правительстве Российской Федерации, г. Москва, Российская Федерация; e-mail: [email protected]
Reference list:
1. Averchenkov V. I. Audit of information security: textbook. manual for universities, - 3rd ed., - Moscow. : FLINT, 2016. P. 269
2. Dvoinishnikov N. E., Islamutdinova D. F. Concept and essence of information system security audit / / Moscow economic journal. No. 2/2019.
3. Klochkova T. V. the Role of information technology audit in information security// Computer and information science. 2019
4. Sitnov A. A. Standard Cobit: new opportunities for Russian audit // Audit statements, - № 6, - 2012., - pp. 44-56.
5. Sitnov A. A. Organization of information security audit// Accounting. Analysis. Audit. No. 6/2016. Pp. 102-110
6. Sitnov A. A., Urintsov A. I. Audit of information systems: a monograph for masters / A. A. Sitnov, A. I. Urintsov. - Moscow: UNITY-DANA, 2014.
INFORMATION ABOUT THE AUTHORS
Alexey A. Sitnov, Dr. Sci. (Econ.), Professor of Department of Accounting, Analysis and Audit, Financial University under the Government of the Russian Federation, Moscow, Russian Federation, https://orcid.org/0000-0003-2221-4037, e-mail: [email protected]
Bakhu R. Bareeva, faculty «Business Analysis and Audit», Financial University under the Government of the Russian Federation, Moscow, Russian Federation, e-mail: [email protected]