Основные направления оптимизации рисков при проведении аудита информационных систем

Объекты аудита информационных систем. Соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам. Гибкое реагирование программы на изменения законодательства.

Рубрика Бухгалтерский учет и аудит
Вид статья
Язык русский
Дата добавления 28.03.2018
Размер файла 18,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Основные направления оптимизации рисков при проведении аудита информационных систем

Демихов Владимир Юрьевич

Невдах Ольга Викторовна

Современный этап развития мировой рыночной системы характеризуется высокой степенью неопределенности и риска во внешнем окружении экономических субъектов. В этих условиях они становятся все более сложными и динамичными бизнес-системами. При этом усложняется не только структура управления ими, но и процедуры сбора, обработки, накопления, хранения и передачи релевантной информации. Поэтому информационные процессы рассматриваются как неотъемлемая часть бизнес-процессов при принятии управленческих решений.

Практически незаменимым инструментарием при осуществлении всестороннего исследования и оценке информационной инфраструктуры, принятии управленческих решений, прогнозировании развития бизнес-системы в целом и ее информационной системы является аудит. Мировое сообщество уже пришло к пониманию значимости аудита информационных систем для всех субъектов хозяйствования. В российских бизнес-структурах по-прежнему господствует мнение о том, что проведение аудита информационных систем - прерогатива электронного бизнеса. С нашей точки зрения, такой подход обусловлен узким пониманием категории "информационная система", ограничивающимся лишь ее аппаратно-технической составляющей. В широком смысле "информационную систему" можно представить как организационно упорядоченную совокупность документов и информационных технологий, реализующих информационные процессы.

Концепция аудита информационных систем исходит из суждения о том, что доминирующим фактором при формировании достоверной финансовой отчетности выступает информационная система.

Поэтому в рамках аудита информационных систем целесообразно осуществлять проверку следующих параметров (таблица 1).

Таблица 1.

Объекты аудита информационных систем.

№ п/п

Проверяемый параметр

1

Принципы функционирования компьютерной информационной системы (способы организации, ввода, настройки, обновления данных)

2

Обеспечение архивирования и хранения данных

3

Наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных

4

Уровень программного обеспечения и наличие лицензий

5

Соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам

6

Возможности настройки программного обеспечения для гибкого реагирования на изменения законодательства

7

Возможности расширения функций имеющихся систем

8

Степень информационной безопасности

9

Общая информационная политика предприятия

При оценке эффективности принципов функционирования информационной системы разумная степень уверенности достигается аудитором в отношении нерушимости и полной гармонизации элементов информационной системы, адаптивности информационной системы к воздействиям внешней среды, а также в отношении совместимости информационной системы для обработки финансовой информации с другими информационными системами. При оценке эффективности методов функционирования информационной системы разумная степень уверенности достигается аудитором в отношении административных решений в части обязательного исполнения законов, директив, приказов и аналогичных регламентов, направленных на использование информационной системы в бизнес-процессах экономического субъекта, а также в отношении экономических и социально-идеологических решений в части материальной и социальной мотивации сотрудников, направленной на эксплуатацию и улучшение действующих характеристик информационной системы. При оценке эффективности способов функционирования информационной системы разумная степень уверенности достигается аудитором в отношении соответствия описательной модели, содержащейся в технической документации, фактическим показателям ее функционирования, а также в отношении эффективности работы аппаратного обеспечения.

Проверка вышеперечисленных параметров производится с помощью специальных контрольных процедур, разрабатываемых аудитором. При этом необходимо учитывать риски, связанные с аудитом информационной системы экономического субъекта, руководствуясь положениями Международного Стандарта Аудита (МСА) 400 "Оценка рисков и внутренний контроль". аудит информационный автоматизированный

Риски, связанные с информационной системой аудируемого лица, принято делить на две группы: риски, оказывающие воздействие на подготовленную финансовую отчетность, и риски, влияющие на исходные бухгалтерские данные, используемые для подготовки отчетов.

Риски на уровне финансовой отчетности сказываются на поведении предприятия как в краткосрочном, так и в долгосрочном периоде. Они классифицируются по местам возникновения, т.е. в зависимости от структурных подразделений, где используется информационная система (департаменты производственного назначения, финансово-аналитические отделы и предприятие в целом). Так, например, риск потери места в ценовом сегменте рынка в большей степени привязан к информационной системе производственно-технического отдела, отдела маркетинга, отдела контроля качества, а риск искажения представления о финансовом состоянии экономического субъекта - к информационной системе бухгалтерии и планово-экономического отдела. Кроме того, почти каждый вид риска может быть соотнесен с показателями, применяемыми для его измерения. К рискам на уровне финансовой отчетности, помимо представленных на рисунке 2, также можно отнести риск, связанный с чрезмерной экономией и недостаточным развитием информационной системы; риск завышенных оценок и недостижимых целей; риск, связанный с уравнением "затраты - качество". Некоторые эксперты в области риск-менеджмента придают этим рискам большое значение, обосновывая их связь с основными составляющими успеха предприятия: результативностью, продуктивностью и экономичностью (таблица 2).

Таблица 2.

Оценка отдельных категорий риска с помощью составляющих успеха предприятия.

Категория риска

Показатель

Комментарии

Риск чрезмерной экономии и недостаточного развития информационной системы

Экономичность

Абсолютная или относительная экономия финансовых ресурсов исходя из количественных и качественных результатов работы информационной системы

Риск завышенных оценок и недостижимых целей

Результативность

Степень достижения запланированных результатов и конечный социально-экономический эффект от использования информационной системы

Риск, связанный с уравнением "затраты - качество".

Продуктивность

Соотношение эффекта от функционирования информационной системы и затраченными финансовыми, материальными и трудовыми ресурсами

Риски на уровне исходных бухгалтерских данных подразделяются на два вида. Риски, связанные с концентрацией функции управления, включают потерю разделения обязанностей, предусмотренного для эффективной работы информационной системы; проведение бухгалтерских записей без авторизации (визирования) расходов; несанкционированный доступ к первичной бухгалтерской информации; несанкционированные учетные записи. Под рисками, связанными с концентрацией данных и программ для их обработки, понимают риск потери и (или) искажения данных вследствие утраты или порчи компьютеров и программного обеспечения; риск потери первичных документов; риск при осуществлении автоматических бухгалтерских записей; риск при формировании финансовой отчетности в автоматическом режиме.

Существуют и другие классификации рисков, с которыми сталкиваются аудиторы при проверке информационных систем. В основе одной из наиболее распространенных классификаций рисков лежат источники потенциальных опасностей. В данном случае выделяют риски, связанные с аппаратным и программным обеспечением экономического субъекта; риски, связанные с квалификацией персонала; риски, связанные с отсутствием мер по обеспечению сохранности программ и данных бухгалтерского учета; риски, связанные с отсутствием контроля ввода исходных данных; риски, связанные с защитой и сохранностью финансовой информации.

Для каждой рисковой ситуации руководство предприятия совместно со службой внутреннего аудита разрабатывает контрмеры. Контрмеры представляют собой контрольные процедуры, поддерживающие надежность функционирования информационной системы и, тем самым, обеспечивающие достоверность финансовой отчетности. Для реализации контрмер необходимо выбрать подход к проведению аудита информационных систем - попроцессный или поэлементный. Сущность попроцессного подхода состоит в проверке всех существенных процессов обработки финансовой информации, начиная с ее сбора и заканчивая представлением руководству для принятия управленческих решений. Попроцессный подход предусматривает выполнение трех этапов: моделирование процессов, декомпозиция модулей и анализ. Применяя поэлементный подход, аудитор достигает разумную уверенность в отношении элементов функционирования информационной системы в части обеспечения достоверности финансовой отчетности. Под элементами здесь понимают структурные единицы информационной системы. Их делят на функциональные (модули технического, технологического и эргономического обеспечения) и информационные элементы. Далее аудитор осуществляет контрольные процедуры, способствующие снижению риска до приемлемого уровня.

Наблюдение, инспектирование документации, устный и письменный опрос являются традиционными и, пожалуй, простейшими способами оптимизации аудиторских рисков. Однако простота не снижает их значимости при проверке информационных систем. Особый интерес представляет метод концептуальных связей, позволяющий наглядно изобразить взаимосвязь между элементами информационной системы. Данный метод был разработан на основе теории Д. Аусубела об эффективном обучении, в соответствии с которой эффективное обучение рассматривается как "процесс, в котором новая информация сопоставляется с существующим аспектом в человеческой структуре знания". С нашей точки зрения, наиболее эффективным способом оптимизации аудиторских рисков является ранжирование, т.е. распределение приоритетов. Применение ранжирования нивелирует главный аудиторский риск - риск необнаружения (вероятность необнаружения ошибок, превышающих допустимую величину, при выполнении всех процедур и соответствующем сборе доказательств). Суть анализа задач заключается в вертикальной и горизонтальной структуризации задач и их распределении между членами аудиторской команды. Анализ информационных процессов - сложный и многогранный метод оптимизации аудиторских рисков, включающий в себя конкретные аналитические процедуры: моделирование информационного процесса, структурное (модульное) проектирование, декомпозиция модулей, анализ модулей информационного процесса, анализ эффективности. При использовании этого метода модули информационной системы делятся на модули прямого и косвенного воздействия, а также модули со значительным и слабым влиянием на финансовую отчетность. Следует отметить, что не существует модулей информационной системы, которые не оказывали бы никакого влияния на финансовую отчетность, поскольку последняя отражает положение дел на предприятии и аккумулирует все факты хозяйственной деятельности. В целях снижения рисков аудитор может прибегнуть к методам эвристического анализа, таким, как: аналогии, контрольные вопросы, анкетирование, интервьюирование и "мозговой штурм". В международной практике управление рисками в информационных системах осуществляется на основе рекомендаций методических пособий (стандартов): CobiT, COSO, ITIL, CMMI и другие. Эти стандарты призваны улучшить качество финансовой отчетности посредством эффективного управления информационной системой.

Таким образом, уточнено значение категории "информационная система" и обоснована необходимость проведения аудита информационных систем для всех экономических субъектов. Подробно рассмотрены объекты аудита информационных систем и особенности их проверки. Детально изучены риски, связанные с аудитом информационных систем, и показатели, используемые для их оценки. В соответствии с различными классификациями рисков выделены направления их оптимизации. Считаем целесообразным при проведении аудита информационных систем уделять большее внимание таким методам снижения рисков, как ранжирование и применение стандартов. Вместе с тем, использование комплексного и системного подхода к оптимизации рисков позволит более эффективно управлять информационными системами предприятия и, как следствие, повысить достоверность финансовой отчетности, а в некоторых случаях и улучшить ее показатели.

Литература

1. Булыга Р.П. Аудит бизнеса. Практика и проблемы развития: монография / Р.П. Булыга, М.В. Мельник; под ред. Р.П. Булыги. - М.: ЮНИТИ-ДАНА, 2013. - 263 с.

2. Попова Л.В. Аудит в системе стратегического управления предприятием / Л.В. Попова // Управление качеством жизни, образования, продукции и окружающей среды в регионах России. В 2 ч. Ч.2/Орел: Изд-во ОрелГТУ, 2011. - С. 190 - 192.

3. Ситнов А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. - 2012. - №6. - С.44-56.

4. Ситнов А.А. Аудит состояния информационной инфраструктуры // Аудитор. - 2012. - №12 (214). - С.16-21.

5. Ситнов А.А. Особенности аудита электронного бизнеса // Аудитор. - 2013. - №7. - С. 19-27.

6. Аудит информационных систем [Электронный ресурс] / Режим доступа: http://www.garantf1://5797804.0/.

Размещено на Allbest.ru


Подобные документы

  • Концепция аудита информационных систем, его объекты. Риски, связанные с информационной системой аудируемого лица, их классификация и показатели оценки. Снижение рисков при проведении аудита информационных систем. Источники потенциальных опасностей.

    статья [33,0 K], добавлен 05.12.2013

  • Решение функциональных задач управления, разработка и проверка информационных систем предприятия - основные объекты внутреннего аудита. Проверка деятельности различных звеньев управления. Обеспечение всесторонней объективности внутреннего аудита.

    контрольная работа [20,2 K], добавлен 22.12.2009

  • Основные требования к информационному обеспечению, специфика и направления применения компьютеров в аудите. Особенности планирования аудита с применением компьютеров. Риски информационных технологий и их главные контрольные объекты: ISACA, CoBiT.

    контрольная работа [19,2 K], добавлен 12.02.2012

  • Сущность аудита. Hеобходимость аудита. Сущность аудита и аудиторской деятельности. Принципы аудита. Виды аудита. Внутренний и внешний аудит. Аудит на соответствие требованиям. Финансовой отчетности и специальный аудит. Значение аудита в системе управления

    курсовая работа [25,2 K], добавлен 10.04.2006

  • Разработка организационно-методических подходов и обоснование концептуальных положений по ведению бухгалтерского учета, формированию отчетности и проведению аудита процесса перехода бюджетных учреждений в автономные учреждения путем изменения их типа.

    автореферат [33,7 K], добавлен 13.01.2013

  • Освоение законодательной и нормативной базы по ведению учета денежных средств и документов для дальнейшей аудиторской оценки и учета. Ознакомление с методикой проверки первичных документов, регистров учета и форм отчетности. Изучение вопросника аудитора.

    курсовая работа [71,4 K], добавлен 11.11.2014

  • Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.

    дипломная работа [1,7 M], добавлен 24.06.2015

  • Отличия аудита от ревизии. Цели внутреннего аудита. Постановка, восстановление и ведение бухгалтерского учета, составление финансовой отчетности, бухгалтерское консультирование. Автоматизация бухгалтерского учета и внедрение информационных технологий.

    реферат [14,9 K], добавлен 24.05.2013

  • Подготовка письма о проведении аудита. Оценка эффективности системы внутреннего контроля ОАО "Пекарь". Определение величины аудиторского риска. Анализ уровня существенности для каждого показателя отчетности. Составление плана и программы аудита.

    контрольная работа [136,3 K], добавлен 10.11.2010

  • Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.

    лекция [803,6 K], добавлен 08.10.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.