АУДИТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

AUDIT OF INFORMATION TECHNOLOGIES

Natalia Popova

student, Department of Economic Security and Audit, North Caucasus Federal University,

Russia, Stavropol

Anna Babich

Candidate of Economic Sciences, Associate Professor at the Department of Economic Security and Audit, North Caucasus Federal University,

Russia, Stavropol

АННОТАЦИЯ

Данная статья посвящена аудиту информационных технологий. Рассмотрены стандарты при проведении ИТ-аудита. Основные этапы проведения аудита информационных технологий.

ABSTRACT

This article will discuss the audit of information technology. Considered standards for IT-audit. The main stages of the audit of information technology.

Ключевые слова: аудиторская деятельность; информационные технологии; стандарты ИТ-аудита.

Keywords: audit activity; information technology; standards of IT-audit.

Информационные технологии (ИТ) постоянно развиваются и становятся все более и более сложными. Положительные стороны использования информационных технологий в бизнесе затеняются новыми рисками. ИТ-аудит проводятся в компаниях с целью оперативного получения систематизированной и достоверной информации для оценки состояния ИТ, принятия решений по управлению ИТ.

Целью ИТ-аудита является улучшение системы управления ИТ. Для этого аудиторы, как внешние, так и внутренние, должны: провести оценку ИТ-рисков; способствовать предотвращению и смягчению последствий сбоев информационных систем; участвовать в управлении ИТ-рисками; помощь в подготовке нормативных документов; помочь связать бизнес-риск с автоматизированным контролем; проводить периодические проверки; помощь ИТ-менеджерам в правильной организации управления ИТ [1, с. 260].

Элементами аудита ИТ-системы являются проверка существующих ИТ-систем, их систем безопасности, процессов управления этими системами с учетом корпоративных и международных стандартов, бизнес-процессов и внутренних регламентов.

В процессе ИТ-аудита можно определить те места в инфраструктуре информационных систем, которые могут представлять ряд рисков для организаций. При этом проводится оценка бизнес-процессов, рабочей информации, внутренних регламентов и эффективности деятельности организации. Полученные результаты позволяют руководству организации иметь доказательства для понимания целесообразности внесенных изменений [2, с. 82].

Современные информационные технологии влекут за собой определенные риски для всей системы внутреннего контроля любого хозяйствующего субъекта. К ним относятся: неточность обработки данных используемыми программными продуктами; несанкционированный доступ к данным, который может привести к их уничтожению или ненадлежащему изменению, в том числе для отражения несанкционированных или недостоверных операций; неуместное ручное вмешательство; возможная потеря данных или невозможность доступа к ним; вероятность того, что ИТ-персонал получит права доступа, превышающие их полномочия для выполнения своих обязанностей, тем самым нарушив распределение этих обязанностей; несанкционированное изменение данных основного файла; несанкционированные изменения в системах или программном обеспечении.

Существует два основных этапа проведения ИТ-аудита: планирование аудита информационных систем; проведение аудита информационных систем [4, с. 163].

Процедуры, которые выполняются на этапе планирования аудита информационных систем, включают анализ структуры различных бизнес-процессов, ИТ-платформы, структуры ролей, распределения обязанностей, бизнес-рисков и бизнес-стратегий. Кроме того, на этом этапе выявляются ИТ-риски, а также оценивается уровень контроля проверяемых бизнес-процессов. На основе полученной информации выбираются объекты ИТ-аудита. Также на этом этапе составляется план ИТ-аудита, выбирается оптимальная методика его проведения и только после этого проводится вся необходимая работа, связанная с выполнением поставленных задач.

В настоящее время существует множество стандартов, регламентов, которые используются аудиторами в ходе проверки функционирования информационных систем. Стандарты информационной безопасности разделяют на три группы: международные стандарты; государственные (национальные) стандарты РФ; руководящие документы. Также аудиторские команды довольно часто используют и другие стандарты, такие, как Cobit, ITIL, TOGAF, PMBOK, CMM и другие [3, с. 112].

Проведение аудита информационных систем состоит из обязательных этапов: определение границ и глубины оценки; сбор и систематизация данных о видах информации, которые возникают, хранятся и передаются внутри компании и которыми осуществляется обмен с внешними контрагентами; обзор информационных процессов; аппаратная и программная оценка; выявление слабых мест, поиск уязвимостей и идентификация рисков; отчет руководству (заказчику) с указанием недостатков и степени их опасности.

Аудит информационных технологий позволяет оценить соответствие информационных систем бизнес-требованиям и различным стандартам, направленным на повышение эффективности ИТ, а также выстроить долгосрочную стратегию развития информационных технологий.

Таким образом, в результате ИТ-аудита может быть получена оценка стоимости ИТ-услуг, на основании которой в дальнейшем можно будет принять решение о передаче некоторых функций на аутсорсинг или концентрации всех функций внутри компании, а также выявить потенциальные риски и недоступные места в ИТ-инфраструктуре для разработки соответствующих процедур по их минимизации.

Список литературы:

1. Арабян, К. К. Аудит: теория, организация, методика и практика: учебник / К. К. Арабян. – Москва: Юнити, 2020. – 480 с.
2. Грекул, В. И. Аудит информационных технологий: учебник для вузов / В. И. Грекул - Москва: Горячая линия - Телеком, 2015. - 154 с.
3. Загинайлов, Ю. Н. Теория информационной безопасности и методология защиты информации: учебное пособие / Ю. Н. Загинайлов. – Москва; Берлин: Директ-Медиа, 2015. – 255 с.
4. Пислегина, Н.В. Аудит: учебник / Н.В. Пислегина, Д.Ю. Филипьев; Финансовый университет при Правительстве Российской Федерации, Алтайский филиал. – Москва; Берлин: Директ-Медиа, 2020. – 279 с.