CC BY
6УДК 004.02 ББК 16.33
Киргинекова В.В.
Научный руководитель: д.э.н., профессор Нестеренко Ю.Н.
АУДИТ ИНФОРМАЦИОННЫХ СИСТЕМ: ЦЕЛИ И СТАНДАРТЫ ПРОВЕДЕНИЯ
AUDIT OF INFORMATION SYSTEMS: OBJECTIVES, STANDARTS OF CONDUCT
КИРГИНЕКОВА Влада Владимировна — магистр 1 курса института ЭМИТ, ФГБОУ ВО «Российская Академия Народного Хозяйства и Государственной Службы при Президенте Российской Федерации», г. Москва, Россия (e-mail: [email protected]).
Научный руководитель:
НЕСТЕРЕНКО Юлия Николаевна — доктор экономических наук, профессор кафедры финансов, бухгалтерского учета и налогообложения, ФГБОУИ ВО «Московский государственный гуманитарно-экономический университет», г. Москва, Россия (e-mail: [email protected]).
KIRGINEKOVA Vlada Vladimirovna — 1st year Master at the EMIT Institute, Russian Academy of National Economy and Public Administration under the President of the Russian Federation, Moscow, Russia (e-mail: vlada_k99@ mail.ru).
Research supervisor:
NESTERENKO Julia Nikolaevna — Doctor of Economics, Professor, Department of Finance, Accounting and Taxation, Moscow State University of the Humanities and Economics, Moscow, Russia (e-mail: julia-nesterenko@ mail.ru).
Аннотация. Данная статья посвящена рассмотрению целей и задачей ИТ-аудита, его важность, основные стандарты (методы) проведения. В статье показано, насколько важно периодически проводить ИТ-аудит и в чем его польза для компании. В описании стандартов для проведения ИТ-аудита рассмотрены основные идеи, которые несут данные стандарты. Отмечено, что на основе проведенного аудита может быть разработана методика и рекомендации к дальнейшей работе бизнеса.
Ключевые слова: ИТ-аудит, стандарт, ИТ-контроль, информационная система, анализ, данные, ИТ-инфраструктура, управление рисками.
Abstract. This article is devoted to the review of the goals and objectives of IT audit, its importance, the main standards (methods) of conducting. The article shows how important IT is to periodically conduct an IT audit and what its benefits are for the company. In the description of the standards for IT audit, the main ideas that these standards carry are considered. It is shown that on the basis of the audit, a methodology and recommendations for the further work of the business can be developed.
Keywords: IT audit, standard, IT control, information system, analysis, data, IT infrastructure, risk management.
Одним из первых толчков для возникновения новой профессии ИТ-аудитор было внедрение в компании информационных систем, которые улучшали текущие бизнес-процессы.
На сегодняшний день сфера ИТ-аудита является важной и неотъемлемой частью финансового аудита. Термин «ИТ-аудит» предоставляет собой обследование и анализ ИТ-инфраструктуры предприятия. Цель ИТ-контроля — оценить существующие на предприятии ИТ-среды, для получения их текущего состояния и дальнейших действий по устранению слабых мест, также разработки рекомендаций по оптимизации и улучшению информационных систем.
При проведении ИТ-аудита можно выявить недостатки информационных систем, которые приводят к рисковым событиям в компании.
Для осуществления ИТ-аудита необходимо получение достоверной информации об информационных системах в виде бесед с ответственными сотрудниками, выгрузок, скриншотов, а также исследование и глубокий анализ полученной информации.
На основе полученных результатов можно сделать следующие выводы о:
- целесообразности бюджета на ИТ-инфраструктуру;
- уровне эффективности работы ИТ-подразделений и квалификации его специалистов;
- слабых местах в информационных системах, среди которых выделяют недостаточно надежные парольные настройки, не соответствующие политике компании, не отозванный вовремя доступ, отсутствие резервного копирования, не правильная отработка ежедневных бизнес-процессов и пр;
- качестве рекомендаций по устранению узких мест и приведению информационных систем к стандартам;
- содержании рекомендаций для ИТ-подразделений для повышения эффективности деятельности.
После проделанной работы ИТ-аудиторов можно понять, соответствует ли ИТ-инфраструктура потребностям компании, защищена ли она от кибератак или сбоев, насколько эффективно работают внедренные технологии.
В состав стандарта СоЬй входит несколько книг, в которых показаны принципы управления и аудита ИТ систем.
В этом стандарте для оценки информационных систем существуют пять ресурсов, критерии их оценки и так же прописаны основные идеи (Таблица 1).
Таблица 1 — Структура стандарта СОВ1Т
Ресурсы Критерии Идеи
• Структурированные и неструктурированные данные; • Все ручные и автоматизированные процедуры; • Программные и аппаратное обеспечения, системы для баз данных, операционная система; • Оборудование, которое используется в компании; • Сотрудники компании, которые так или иначе пользуются информационными системами • Эффективность; • Продуктивность; • Безопасность (защита данных); • Полнота и точность; • Пригодность; • Надежность; • Согласованность. • Качественное управление рисками; • Созданная ИТ-инфраструктура, которая соответствует требованиям и оптимизирует работу организации; • В случае, если организация не справляется, передача обслуживания на аутсорсинг.
Источник: составлено автором.
Основные части стандарта ГГЛР:
- Принципы работы ИТ-аудитора: независимость, объективность, соблюдение этики, компетентность, регулярное обновление знаний;
- Стандарты проверки: контроли, определение объема работ, управление рисками, экспертная оценка;
- Стандарты отчетов: типы отчетов и их презентация.
Данный стандарт разрабатывался не как стандарт для ИТ-аудита, но он дает универсальные подходы и принципы, которые могут быть использованы как для финансового аудита, так и для аудита информационных систем. Были созданы два руководства: «Guide to the Assessment of IT Risk» (GAIT) и «Global Technology Audit Guide» (GATG).
В них описаны риск-ориентированные подходы к оценке и определению ИТ-контролей, процедуры и техники, используемые при проведении проверок ИТ-систем.
Регулярное проведение ИТ-аудита очень важно для бизнеса, если его сотрудники стремятся к улучшению и оптимизации работы информационных систем, также защите от кибератак и нежелательному доступу. А рекомендации, которые ИТ-аудитор предоставляет после тщательного анализа, значительно помогут в этом.
Список литературы:
1. Киянова Л.Д., Литвиненко И.Л. Развитие системы образования как фактор становления национальной инновационной системы // Сборник научных трудов «Кадровый ландшафт региона: проблемы формирования и перспективы развития» (по материалам III межд. научн.-образов. Форума «Интеллектуальные ресурсы региональному развитию»). - Ростов-на-Дону: ИУБиП, 2014. С. 163-166.
2. Корнеев В.Ю., Литвиненко И.Л. Роль предприятий в формировании инновационной модели экономики России // Вестник Московского государственного гуманитарно-экономического института. 2014. №4 (20). С. 65-74.
3. Литвиненко И.Л. Региональная инновационная система: структура и инструменты управления // Монография. - М.: Русайнс, 2016. - 192 с.
4. Официальный сайт «Getinfo» Стандарт CobiT. Управление и аудит информационных технологий. Особенности проведения внешнего аудита ИТ [Электронный ресурс]. URL: «»https://www.jetinfo. ru/standart-cobit-upravlenie-i-audit-informaczionnyh-tehnologij-osobennosti-provedeniya-vneshnego-audita-it/?ysclid=l3k2e5y487 (дата обращения: 05.05.2022).
5. Официальный сайт «Habr» Основные международные стандарты и лучшие практики проведения аудита информационных технологий. 2014 [Электронный ресурс]. URL: https://habr.com/ru/ post/224895/?ysclid=l3k2m7195w (дата обращения: 05.05.2022).
6. Официальный сайт «Integrus» Для чего нужен ИТ аудит и что в него входит. 2018 [Электронный ресурс]. URL: https://integrus.ru/ blog/it-audit.html?ysclid=l3k2p2xymh (дата обращения: 05.05.2022).
