Автор: Пользователь скрыл имя, 29 Февраля 2012 в 11:20, доклад
Стандарты и практика проведения аудита информационной системы. Аудит информационной системы (ИС). ISACA - ассоциация аудита и контроля информационных систем. CoBiT - контрольные объекты информационной технологии. Практика проведения аудита информационной системы.
Достоверность, надежность. Информация достоверна, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Достоверная информация должна быть правдива, нейтральна (не должна содержать пристрастных оценок, т. е. не должна предоставляться выборочно, с целью достижения определенного результата), достаточна (соответствовать требованию полноты информации, с точки зрения как ее существенности, так и затрат на ее подготовку). При подготовке информации важно проявлять осмотрительность -- здоровый пессимизм, готовность к учету потенциальных убытков, а не потенциальных прибылей и, как следствие, к созданию резервов. Такой подход уместен в состоянии неопределенности и не означает создания скрытых резервов или искажения информации.
Потребность российского рынка в этой услуге
Решение о том, нужно ли проводить аудит, зависит от целого ряда моментов, которые стоит принять во внимание. Среди них - разветвленность информационной системы и сложность ее обслуживания, возрастающая сложность решаемых задач, возникновение новых направлений работы, выход на новые рынки, изменение условий работы. Однако решающим фактором может оказаться стиль руководства организацией - умение и желание руководителей стратегически мыслить, видеть перспективы развития бизнеса.
Нужен ли аудит информационных систем на российском ИТ-рынке? Прежде всего заинтересованы в проведении аудита коммерческие или бюджетные организации и предприятия, которым необходимо обосновать инвестиции в информационную систему (рис. 3). Системные интеграторы, ИТ-компании нуждаются в том, чтобы оценить влияние информационной системы и расширения спектра предлагаемых услуг на основной бизнес-процесс. Для компаний, проводящих финансовый аудит, аудит информационной системы - это дополнительная услуга, способная повысить рейтинг компании на рынке. Генеральным подрядчикам работ интересна возможность оценить работу субподрядчиков в сфере ИТ. Кроме того, аудит информационной системы по стандарту CoBiT поможет любому предприятию получить ответы на многочисленные вопросы, о которых говорилось в начале статьи.
Рис. 3. Кто заинтерисован в аудите ИС
Во всем мире консалтинг в сфере аудита приобрел поистине всеобъемлющий размах, "ни одного серьезного дела без аудита". Однако исследования показывают, что отчеты о проведении аудита информационной системы не блещут технической грамотностью и содержательностью рекомендаций. Невысокий уровень предлагаемых заказчикам отчетов объясняется просто -- подавляющее большинство западных аудиторских компаний, предлагающих свои услуги в сфере ИТ, выросли из финансового аудита и технических специалистов они приглашают лишь по мере надобности.
В российских компаниях - системных интеграторах наличие высококвалифицированных специалистов с огромным практическим опытом в различных сферах инфокоммуникационного рынка позволяет проводить аудит информационной системы, как отдельную специфическую услугу. Если эти организации возьмут на вооружение профессиональный стандарт с апробированной и отлаженной структурой, профессионализм подобных услуг резко возрастет.