CC BY
52
УДК 657.6
РАСПРОСТРАНЕНИЕ МЕТОДОЛОГИИ СТАНДАРТА COBIT НА ПРОВЕДЕНИЕ ПРОЦЕДУР ПО СУЩЕСТВУ, ВЫПОЛНЯЕМЫХ ИНФОРМАЦИОННОЙ
СИСТЕМОЙ АУДИТА
Мальцев А.С., аспирант кафедры «Аудит и контроль», ФГОБУ ВО «Финансовый университет при Правительстве Российской Федерации», тел.: +7 (905) 780-21-63, e-mail: a.maltsev@ymail.com
Аудиторы и аудируемые лица используют сложные информационные системы, автоматизирующие определенные процедуры. Сложность данных процедур и необходимость их соответствия поставленным задачам обосновывает необходимость аудита данных информационных систем. В статье рассмотрена методология универсального стандарта Cobit, а также руководство "Основные принципы аудита ИТ", позволяющие выполнить аудит информационных систем. Предложено распространение методологии стандарта Cobit на выполнение соответствия процедур по существу, выполняемых информационной системой аудита, с учетной политикой и спецификой хозяйственных операций аудируемого лица.
Ключевые слова: Cobit, основные принципы аудита ИТ, аудит информационной системы, распространение методологии стандарта Cobit.
COBIT METHODOLOGY FRAMEWORK EXTENSION TO TEST OF DETAILS PROCEDURES, EXECUTED IN AUDIT INFORMATION SYSTEM
Maltsev A., the post-graduate student of the Audit and control chair, FSBEIHE «Financial university under the government of the Russian
Federation», tel.: +7 (905) 780-21-63, e-mail: a.maltsev@ymail.com
Auditors and audited entities use complicated information systems, which automate certain procedures. Complexity of these procedures as well as matching with assigned tasks determines the necessity of information systems audit. In the article described methodology of universal standard Cobit, IT assurance guide, that enables conduct information systems audit. Initiated extension of Cobit methodology framework for test of the details procedures implemented in information systems with accounting policy and audited entity business specification.
Keywords: Cobit, IT assurance guide, information system audit, Cobit framework extension.
Постоянно возрастающая роль Информационных Технологий (далее - ИТ), повышение сложности бизнес-операций, рост требований к учету и обработке информации сформировали относительно новые для российского рынка услуги аудита Информационной Системы (далее - ИС). Аудит ИС ставит задачу не только обследования и описания её состояния и компонентов, но и выявление бизнес-рисков, методов их минимизации и, как следствие, улучшения всей ИС. Аудитор, как правило, не в состоянии самостоятельно оценить надежность получения, хранения и обработки информации в информационной системе учета, вследствие чего появляется необходимость прибегнуть к мнению эксперта для оценки ИТ-процессов подготовки бухгалтерской отчётности и эффективности системы внутреннего контроля.
На российском рынке в настоящее время можно выделить шесть видов услуг по аудиту ИС:
• обследование ИТ, применяемых экономическим субъектом;
• экспертная оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-сервисов;
• технический аудит;
• аудит ИТ-процессов;
• аудит ИС по конкретному критерию;
• комплексный аудит ИС1.
Наиболее известным стандартом аудита ИС, позволяющим провести комплексный аудит ИС, является стандарт СоЬй. Стандарт основан на лучших практиках и соединяет в себе основные методики мировых стандартов аудита ИС (таблица 1).
Стандарт СоЬй не определяет, как улучшить работу компании, и не выдвигает готовых руководств по её совершенствованию, однако определяет ключевые факторы, которые обеспечивают достижение требуемого качества. Для целей аудита наибольшую ценность пред-
Таблица 1. Основные стандарты аудита ИС, применяемые стандартом Cobit2
Стандарт СоЬН Издание руководства Cobit
coso Мониторинг и оценка внутреннего контроля (МЕ 2) Relating the COSO Internal Control—Integrated Framework and COBIT
ITIL Обеспечение корпоративного управления ИТ (МЕ 40) COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1
ISO/IEC 17799:2005 Обеспечение безопасности систем (ЭЭ 5) COBIT Mapping to ISO/IEC 17799:2000 With COBIT
PMBOK Управление проблемами (ОБ 10) COBIT Mapping: Mapping PMBOK to COBIT 4.0
CMMI Модель зрелости COBIT Mapping: Mapping of CMMI for Development VI.2 With COBIT 4.1
1 Ситнов, А.А. Аудит информационных систем: монография для магистров / А.А. Ситнов, И.А. Уринцов. - М.ЮНИТИ-ДАНА, 2014.
2 Вдовин, И. А. СоЬй 4.1. Методология. Цели контроля. Руководство по управлению. Модели зрелости процессов [Электронный ресурс] - Режим доступа: http://www.isaca.ru/audit
ставляет издание ассоциации ВАСА "Основные принципы аудита ИТ", в которой описаны правила и основные принципы аудита на основании методологии стандарта СоЬй (таблица 2).
Методология не предоставляет детальные процедуры проведения, а описывает фундаментальные принципы и технику аудита в отношении общих мер контроля, относимых ко всем процессам, управления механизмами контроля и частными контрольными мерами, позволяющими выполнить аудит ИС. Руководство описывает реализацию проверки 34 ИТ-процессов, позволяющих аудитору оценивать адекватность поставленных задач, реализованных в системе управления ИТ, а также вырабатывать надлежащие управленческие рекомендации по ее улучшению.
Применение Информационной Системы Аудита (далее - ИСА), позволяющей переложить выполнение определенных аудиторских процедур с аудитора на систему, имеет сложные ИТ-процессов и, как следствие, риски невыполнения возложенных на неё задач. С одной стороны, аудит ИСА обуславливается необходимостью поддержания качества оказываемых услуг. С другой стороны, внешним контролем качества оказываемых услуг аудитором.
Этап сбора аудиторских доказательств является одним из самых значимых и трудоемких этапов аудиторской проверки, на котором выполняются процедуры по существу. Выполнение процедур по существу ИСА, таких как "запрос", "пересчет", "аналитические процедуры" имеют вариативный характер в аудите в отношении разных секций аудита. Связано это с тем, что, во-первых, в соответствии со статьей 8 Федерального закона № 402-ФЗ "О бухгалтерском учете" аудируемое лицо вправе выбирать методы учета, из-за чего возникает риск того, что ИСА выполнит аудиторскую процедуру, не соответствующую учетной политике аудируемого лица. Во-вторых, это связано со спецификой хозяйственных операций, выполняемых аудируемым лицом, что определяет особенности проведения не-
которых процедур.
Так, например, необходимо, чтобы при проведении процедуры "пересчет" стоимости объектов основных средств ИСА пересчитывала стоимость в соответствии с методом амортизации, принятым в учетной политике. В то же время специфика бизнеса аудируемого лица влияет на методику проведения аудиторских процедур. Например, при выполнении аналитической процедуры оценки выручки оператора подвижного железнодорожного состава аудитор оценивает выручку на основании количества перевезенного груза и стоимости отправки, исходя из направления и типа груза. В противовес этому для предприятий, занимающихся добычей угля, будет выступать количество проданного угля и контрактная стоимость поставки. Выполнение процедуры "запрос" ИСА также зависит от специфики бизнеса аудируемого лица: ИСА подготавливает стандартные запросы с учетом производственных и технических особенностей аудируемого лица. Стандарт не выделяет конкретные процедуры, но определяет необходимость применения модели оценки рисков, используемой для тестирования каждого элемента объекта аудита и определения областей с наибольшим риском, которые должны быть проверены. Стандарт СоЬй, являясь универсальным стандартом аудита ИС, позволяет подтвердить соответствие учетной политики и специфики бизнеса аудируемого лица выбранным процедурам по существу в ИСА (таблице 3).
СоЬй выделяет необходимость определения на предметном уровне объекта аудита: процессов, процедур, систем, подсистем и прочих элементов, которыми и являются данные процедуры. Несмотря на универсальность стандарта, его методология напрямую не предполагает проводить соответствие выполненных процедур учетной политике и особенностям бизнеса, но выделяет общий подход к формированию процедур, одним из которых является аудит соответствия процедур по существу.
Таблица 2. Основные принципы аудита ИТ3
Планирование Определение объекта ИТ аудита Выполнение планирования на основании модели анализа рисков Выполнение «высокоуровневой оценки» Определение цели аудита
Определение границ аудита Определение бизнес-целей Документирование принципов корпоративной архитектуры ИТ Выбор системы контроля Определение ИТ-процессов Определение ИТ-компонентов Оптимизация ИТ-компонентов Определение объекта контроля Оптимизация выбора объектов контроля
Проведение аудита Уточнение понимания цели аудита Уточнение границ ключевых контрольных мер для целей аудита Оценка эффективности системы внутреннего контроля Альтернативные и дополнительные способы оценки системы мест контроля и влияние на внутренний контроль Документирование уязвимых мест в корпоративной архитектуре ИТ Сбор и формирование выводов и рекомендации аудитора в отношении проведенной работы
3 IT assurance guide: Using CobiT 2007 [Электронный ресурс]. - Режим доступа: https://www.isaca.org/
Таблица 3. Распространение методологии Cobit на проведение процедур по существу с ИСА
Объект аудита Предмет аудита Комментарии Реализация в стандарте Cobit
Внедрение Аудит
Учетная политика: Соответствие Аудируемое лицо Определение ИТ Определение бизнес-
метод учетной политики вправе выбирать процессов, целей;
амортизации выбранной методы учета, в организационной Определение ИТ-
объектов ОС и процедуре, связи с чем структуры и процессов и
НМА примененной в возникает риск взаимосвязей компонентов
срок полезного ИСА того, что ИСА Оценка и управление Оценка эффективности
использования выполнит ИТ рисками системы внутреннего
нематериальных аудиторскую Управление контроля
активов процедуру, не проблемами Альтернативные и
счета, соответствующую Управление дополнительные
применяемые учетной политике операциями по способы оценки
для учета аудируемого лица эксплуатации систем системы мест контроля
приобретенных и влияние на
материалов внутренний контроль
метод учета Документирование
товарно- уязвимых мест в
материальных корпоративной
запасов архитектуре ИТ
создание Сбор и формирование
резервов выводов и
Специфика Соответствие Необходимость рекомендаций
бизнеса: выбранных выбора техники аудитора в отношении
формирование процедур в ИСА проведения проведенной работы
выручки специфике процедур по
формирование хозяйственных существу,
затрат операций аудируемого лица соответствующих специфике бизнеса аудируемого лица
Литературы:
1. Вдовин, И. А. СоЬй 4.1. Методология. Цели контроля. Руководство по управлению. Модели зрелости процессов [Электронный ресурс] - Режим доступа: http://www.isaca.ru/audit.
2. Ситнов, А.А. Аудит информационных систем: монография для магистров / А.А. Ситнов, И.А. Уринцов. - М.ЮНИТИ-ДАНА, 2014.
3. Чистов, Д.В. Компьютерные программы для автоматизации аудиторской деятельности / Д.В. Чистов, С.М. Долгалев [Элек-
тронный ресурс] - Режим доступа: http://www.fa-kit.ru/main_dsp. php?top_id = 376.
4. Шуремов, Е.Л. Автоматизированные информационные системы бухгалтерского учета, анализа, аудита: учебное пособие / Е.Л. Шуремов, Э.А. Умнова, Т.В. Воропаева. [Электронный ресурс]
- Режим доступа: http://www.shurem.ru/main_dsp.php?top_id=583.
5. IT assurance guide: Using CobiT 2007 [Электронный ресурс].
- Режим доступа: https://www.isaca.org/.
