Основные направления оптимизации рисков при проведении аудита информационных систем

Основные направления оптимизации рисков при проведении аудита информационных систем

И.А. Маслова, А.А. Ветрова

Современный этап развития мировой рыночной системы характеризуется высокой степенью неопределенности и риска во внешнем окружении экономических субъектов. В этих условиях они становятся все более сложными и динамичными бизнес-системами. При этом усложняется не только структура управления ими, но и процедуры сбора, обработки, накопления, хранения и передачи релевантной информации. Поэтому информационные процессы рассматриваются как неотъемлемая часть бизнес-процессов при принятии управленческих решений.

Практически незаменимым инструментарием при осуществлении всестороннего исследования и оценке информационной инфраструктуры, принятии управленческих решений, прогнозировании развития бизнес-системы в целом и ее информационной системы является аудит [1]. Мировое сообщество уже пришло к пониманию значимости аудита информационных систем для всех субъектов хозяйствования. В российских бизнес-структурах по-прежнему господствует мнение о том, что проведение аудита информационных систем - прерогатива электронного бизнеса. С нашей точки зрения, такой подход обусловлен узким пониманием категории "информационная система", ограничивающимся лишь ее аппаратно-технической составляющей. В широком смысле "информационную систему" можно представить как организационно упорядоченную совокупность документов и информационных технологий, реализующих информационные процессы [1]. Структура информационной системы изображена на рисунке 1.

Рисунок 1 - Принципиальная схема информационной системы

Концепция аудита информационных систем исходит из суждения о том, что доминирующим фактором при формировании достоверной финансовой отчетности выступает информационная система.

Поэтому в рамках аудита информационных систем целесообразно осуществлять проверку следующих параметров (таблица 1).

Таблица 1 - Объекты аудита информационных систем

№ п/пПроверяемый параметр1Принципы функционирования компьютерной информационной системы (способы организации, ввода, настройки, обновления данных) 2Обеспечение архивирования и хранения данных3Наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных4Уровень программного обеспечения и наличие лицензий5Соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам6Возможности настройки программного обеспечения для гибкого реагирования на изменения законодательства7Возможности расширения функций имеющихся систем8Степень информационной безопасности9Общая информационная политика предприятия

При оценке эффективности принципов функционирования информационной системы разумная степень уверенности достигается аудитором в отношении нерушимости и полной гармонизации элементов информационной системы, адаптивности информационной системы к воздействиям внешней среды, а также в отношении совместимости информационной системы для обработки финансовой информации с другими информационными системами. При оценке эффективности методов функционирования информационной системы разумная степень уверенности достигается аудитором в отношении административных решений в части обязательного исполнения законов, директив, приказов и аналогичных регламентов, направленных на использование информационной системы в бизнес-процессах экономического субъекта, а также в отношении экономических и социально-идеологических решений в части материальной и социальной мотивации сотрудников, направленной на эксплуатацию и улучшение действующих характеристик информационной системы. При оценке эффективности способов функционирования информационной системы разумная степень уверенности достигается аудитором в отношении соответствия описательной модели, содержащейся в технической документации, фактическим показателям ее функционирования, а также в отношении эффективности работы аппаратного обеспечения [3].

Проверка вышеперечисленных параметров производится с помощью специальных контрольных процедур, разрабатываемых аудитором. При этом необходимо учитывать риски, связанные с аудитом информационной системы экономического субъекта, руководствуясь положениями Международного Стандарта Аудита (МСА) 400 "Оценка рисков и внутренний контроль".

Риски, связанные с информационной системой аудируемого лица, принято делить на две группы: риски, оказывающие воздействие на подготовленную финансовую отчетность, и риски, влияющие на исходные бухгалтерские данные, используемые для подготовки отчетов (рисунок 2).

Рисунок 2 - Риски, связанные с аудитом информационных систем, и показатели их оценки

Риски на уровне финансовой отчетности сказываются на поведении предприятия как в краткосрочном, так и в долгосрочном периоде [1]. Они классифицируются по местам возникновения, т.е. в зависимости от структурных подразделений, где используется информационная система (департаменты производственного назначения, финансово-аналитические отделы и предприятие в целом). Так, например, риск потери места в ценовом сегменте рынка в большей степени привязан к информационной системе производственно-технического отдела, отдела маркетинга, отдела контроля качества, а риск искажения представления о финансовом состоянии экономического субъекта - к информационной системе бухгалтерии и планово-экономического отдела. Кроме того, почти каждый вид риска может быть соотнесен с показателями, применяемыми для его измерения. К рискам на уровне финансовой отчетности, помимо представленных на рисунке 2, также можно отнести риск, связанный с чрезмерной экономией и недостаточным развитием информационной системы; риск завышенных оценок и недостижимых целей; риск, связанный с уравнением "затраты - качество". Некоторые эксперты в области риск-менеджмента придают этим рискам большое значение, обосновывая их связь с основными составляющими успеха предприятия: результативностью, продуктивностью и экономичностью (таблица 2).

Таблица 2 - Оценка отдельных категорий риска с помощью составляющих успеха предприятия

Категория рискаПоказатель КомментарииРиск чрезмерной экономии и недостаточного развития информационной системыЭкономичностьАбсолютная или относительная экономия финансовых ресурсов исходя из количественных и качественных результатов работы информационной системыРиск завышенных оценок и недостижимых целейРезультативностьСтепень достижения запланированных результатов и конечный социально-экономический эффект от использования информационной системыРиск, связанный с уравнением "затраты - качество". ПродуктивностьСоотношение эффекта от функционирования информационной системы и затраченными финансовыми, материальными и трудовыми ресурсами

Риски на уровне исходных бухгалтерских данных, как показано на рисунке 2, подразделяются на два вида. Риски, связанные с концентрацией функции управления, включают потерю разделения обязанностей, предусмотренного для эффективной работы информационной системы; проведение бухгалтерских записей без авторизации (визирования) расходов; несанкционированный доступ к первичной бухгалтерской информации; несанкционированные учетные записи. Под рисками, связанными с концентрацией данных и программ для их обработки, понимают риск потери и (или) искажения данных вследствие утраты или порчи компьютеров и программного обеспечения; риск потери первичных документов; риск при осуществлении автоматических бухгалтерских записей; риск при формировании финансовой отчетности в автоматическом режиме [4].

Существуют и другие классификации рисков, с которыми сталкиваются аудиторы при проверке информационных систем. В основе одной из наиболее распространенных классификаций рисков лежат источники потенциальных опасностей. В данном случае выделяют риски, связанные с аппаратным и программным обеспечением экономического субъекта; риски, связанные с квалификацией персонала; риски, связанные с отсутствием мер по обеспечению сохранности программ и данных бухгалтерского учета; риски, связанные с отсутствием контроля ввода исходных данных; риски, связанные с защитой и сохранностью финансовой информации [5].

аудит информационная система риск

Для каждой рисковой ситуации руководство предприятия совместно со службой внутреннего аудита разрабатывает контрмеры. Контрмеры представляют собой контрольные процедуры, поддерживающие надежность функционирования информационной системы и, тем самым, обеспечивающие достоверность финансовой отчетности. Для реализации контрмер необходимо выбрать подход к проведению аудита информационных систем - попроцессный или поэлементный. Сущность попроцессного подхода состоит в проверке всех существенных процессов обработки финансовой информации, начиная с ее сбора и заканчивая представлением руководству для принятия управленческих решений. Попроцессный подход предусматривает выполнение трех этапов: моделирование процессов, декомпозиция модулей и анализ [2]. Применяя поэлементный подход, аудитор достигает разумную уверенность в отношении элементов функционирования информационной системы в части обеспечения достоверности финансовой отчетности. Под элементами здесь понимают структурные единицы информационной системы. Их делят на функциональные (модули технического, технологического и эргономического обеспечения) и информационные элементы [5]. Далее аудитор осуществляет контрольные процедуры, способствующие снижению риска до приемлемого уровня (рисунок 3).

Рисунок 3 - Основные направления снижения рисков при проведении аудита информационных систем

Наблюдение, инспектирование документации, устный и письменный опрос являются традиционными и, пожалуй, простейшими способами оптимизации аудиторских рисков. Однако простота не снижает их значимости при проверке информационных систем. Особый интерес представляет метод концептуальных связей, позволяющий наглядно изобразить взаимосвязь между элементами информационной системы. Данный метод был разработан на основе теории Д. Аусубела об эффективном обучении, в соответствии с которой эффективное обучение рассматривается как "процесс, в котором новая информация сопоставляется с существующим аспектом в человеческой структуре знания" [1]. С нашей точки зрения, наиболее эффективным способом оптимизации аудиторских рисков является ранжирование, т.е. распределение приоритетов. Применение ранжирования нивелирует главный аудиторский риск - риск необнаружения (вероятность необнаружения ошибок, превышающих допустимую величину, при выполнении всех процедур и соответствующем сборе доказательств). Суть анализа задач заключается в вертикальной и горизонтальной структуризации задач и их распределении между членами аудиторской команды. Анализ информационных процессов - сложный и многогранный метод оптимизации аудиторских рисков, включающий в себя конкретные аналитические процедуры: моделирование информационного процесса, структурное (модульное) проектирование, декомпозиция модулей, анализ модулей информационного процесса, анализ эффективности. При использовании этого метода модули информационной системы делятся на модули прямого и косвенного воздействия, а также модули со значительным и слабым влиянием на финансовую отчетность [4]. Следует отметить, что не существует модулей информационной системы, которые не оказывали бы никакого влияния на финансовую отчетность, поскольку последняя отражает положение дел на предприятии и аккумулирует все факты хозяйственной деятельности. В целях снижения рисков аудитор может прибегнуть к методам эвристического анализа, таким, как: аналогии, контрольные вопросы, анкетирование, интервьюирование и "мозговой штурм". В международной практике управление рисками в информационных системах осуществляется на основе рекомендаций методических пособий (стандартов): CobiT, COSO, ITIL, CMMI и другие [3]. Эти стандарты призваны улучшить качество финансовой отчетности посредством эффективного управления информационной системой.

Таким образом, уточнено значение категории "информационная система" и обоснована необходимость проведения аудита информационных систем для всех экономических субъектов. Подробно рассмотрены объекты аудита информационных систем и особенности их проверки. Детально изучены риски, связанные с аудитом информационных систем, и показатели, используемые для их оценки. В соответствии с различными классификациями рисков выделены направления их оптимизации. Считаем целесообразным при проведении аудита информационных систем уделять большее внимание таким методам снижения рисков, как ранжирование и применение стандартов. Вместе с тем, использование комплексного и системного подхода к оптимизации рисков позволит более эффективно управлять информационными системами предприятия и, как следствие, повысить достоверность финансовой отчетности, а в некоторых случаях и улучшить ее показатели.

Литература

1.Булыга Р.П. Аудит бизнеса. Практика и проблемы развития: монография / Р.П. Булыга, М.В. Мельник; под ред.Р.П. Булыги. - М.: ЮНИТИ-ДАНА, 2013. - 263 с.

2.Попова Л.В. Аудит в системе стратегического управления предприятием / Л.В. Попова // Управление качеством жизни, образования, продукции и окружающей среды в регионах России. В 2 ч. Ч.2/Орел: Изд-во ОрелГТУ, 2011. - С. 190 - 192.

.Ситнов А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. - 2012. - №6. - С.44-56.

.Ситнов А.А. Аудит состояния информационной инфраструктуры // Аудитор. - 2012. - №12 (214). - С.16-21.

.Ситнов А.А. Особенности аудита электронного бизнеса // Аудитор. - 2013. - №7. - С. 19-27.

.Аудит информационных систем [Электронный ресурс] / Режим доступа: http://www.garantf1: // 5797804.0/.

Больше работ по теме: