Рассмотрим технологию аудита информационных систем в базовом, наибо­лее простом понимании. Такой подход может быть применим в небольших и средних организациях.

При проведении проверки информационных систем внимание аудиторов, как правило, направлено на три основных блока: техническое обеспече­ние, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая из этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь.

С точки зрения технического обеспечения необходимо постоянно отсле­живать следующие моменты:

• отказоустойчивость технической базы, под которой понимают способ­ность технических средств функционировать практически без сбоев и остановок;

• степень надежности хранения данных и возможности их восстановле­ния, включая средства резервного копирования;

• физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может быть причиной несанкционированных действий;

• маштабируемость компьютерных систем, которая состоит в возмож­ности их наращивания и является залогом их более длительного ис­пользования;

• достаточность вычислительной мощности технических средств для обработки данных в организации;

• соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.

В части контроля за программным обеспечением регулярной проверке подлежат:

• лицензионная чистота программного обеспечения, так как помимо юридических проблем при отсутствии лицензий сопровождение про­граммных продуктов производителями не осуществляется, и это может привести к серьезным сбоям в работе;

• логическое разграничение прав доступа к данным на системном и при­кладном уровнях, в том числе политика информационной безопасности и ее выполнение, что предотвращает несанкционированные действия и ограничивает доступ к конфиденциальной информации;

• порядок внесения изменений в программные продукты, смены версий, санкционированность и проработанность подобных действий, так как именно процесс изменений не только сам по себе несет существенные риски, но и способствует выявлению или обострению смежных про­блем;

• протоколирование всех действий пользователей в информационных системах, что предоставляет возможность оперативного контроля и проведения внутренних расследований;

• надежность системного программного обеспечения и используемой СУБД, которые так же, как и технические средства, являются источ­ником повышенного риска;

• достаточность функциональных возможностей и удобство осущест­вления операций в системах автоматизации, что необходимо для достижения большей эффективности при использовании современ­ных ИТ;

• наличие верификации прав доступа (подтверждения одним пользо­вателем действий другого) и последующего контроля за данными в информационных системах;

• корректность алгоритмов, результатов и периодичности автомати­ческих процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя (расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация);

• корректность справочных данных, используемых при различных рас­четах и операциях в информационных системах (курсы валют, про­центные ставки, банковские идентификационные коды).

Направления проверки технологии организации и использования ком­пьютерной обработки данных достаточно разнообразны:

• общая структура служб ИТ и ее соответствие поставленным задачам;

• существование и реализация плана развития информационных техно­логий, что является необходимым при современном темпе технологи­ческих нововведений;

• регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;

• оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей инфор­мационных систем;

• технология разработки и внедрения отдельных приложений, которая должна удерживать банк от применения не соответствующих требо­ваниям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ-персонала (при собственной разработке);

• технологии проведения отдельных операций с точки зрения их со­ответствия регламентам, политике информационной безопасности, удобства и эффективности их автоматизации;

• технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;

• наличие системы обеспечения деятельности при возникновении чрез­вычайных ситуаций, а именно: плана действий, резервной вычисли­тельной площадки и возможности быстрого восстановления данных.

Описанный выше подход является первой практической реакцией на тре­бования дня. При более глубоком анализе проблемы становится очевидно,

что следует более широко, комплексно, подходить к ее решению. Необходимо дать аудиторам (как внутренним, так и внешним) методологию проверки, содержащую программу аудита, основные критичные циклы, систему оцен­ки, возможность делать не только замечания, но и давать рекомендации по улучшению ситуации. Однако многие аудиторы не имеют специальных тех­нических знаний и самостоятельно не способны разработать методику про­верки ИТ. В то же время для минимизации рисков в условиях компьютерной обработки данных, помимо периодического аудита, необходимо правильно построить ИТ-менеджмент, внедрить эффективную систему внутреннего кон­троля. Что же делать в этой ситуации? К счастью, решение существует — это уже упоминавшийся Cobit.

Выше была приведена общая схема описанных областей, их составляющие и система взаимодействия, которая в методологии Cobit называется «золотое правило».

По каждой из областей эта методология содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контро­ля, т. е. все то, что мы уже отмечали и что так необходимо с точки зрения аудита в условиях компьютерной обработки данных. Методология Cobit представляет собой набор из нескольких книг: руководства по аудиту, по внедрению, для менеджмента, контрольные процедуры.

Однако необходимо отметить, что внедрение подобной методологии явля­ется сложной задачей и не всегда может быть осуществлено без посторонней консалтинговой помощи. Это связано с тем, что в процессе внедрения не­обходимо оценить последовательность действий и сформулировать систему приоритетов. Часто необходим также практический опыт подобных процессов в других организациях.

Широкое использование информационных технологий трансформирует задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. Возрастает потребность в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том чис­ле и информационных систем. Это в конечном счете еще более укрепляет описанные выше тенденции и подталкивает организации к использованию передовых международных подходов в области аудита в условиях компью­терной обработки данных.