Внутренний аудит информационных технологий

Software

Автор:
Источник: Журнал «Бухгалтерия и банки» №9 - 2006
Опубликовано: 24 октября 2006

В корпоративной лексике стали часто употребимы такие понятия, как «внутренний контроль» и «внутренний аудит», в особенности в последние годы. Между тем термины «контроль» и «аудит» существенно различаются — аудит не только предполагает проверку или контроль технологии, состояния объекта, соблюдения требований и т. п., но и позволяет оценить качество их организации и управления ими, а также выставить в том или ином виде оценку деятельности конкретных служб и даже отдельных исполнителей. Контроль и аудит традиционно применяются к бухгалтерии, учёту, отчётности, делопроизводству. Развитие информационных технологий (ИТ) идёт по многим направлениям, является процессом динамично развивающимся, требующим постоянного управления и контроля, а идея применения к последним аппарата аудита со всеми его приёмами и инструментарием в среде ИТ-специалистов возникла закономерно и является логически оправданной.
Под внутренним аудитом корпоративных информационных технологий подразумеваются проверка и оценка разных сторон деятельности информационных подразделений собственными силами. Это необходимо для того, чтобы удостовериться в соответствии технологий установленным требованиям, чтобы выявить возможные собственные ошибки при принятии решений, некорректное исполнение или недоработки, а также для того, чтобы подготовиться к проверкам официальных аудиторов или ревизоров. Неважно, какое подразделение является инициатором проверок — специальное ревизионное или же ИТ-подразделение, внутренний аудит должен выполняться силами информатизаторов, в данной статье предпринимается попытка осветить разные аспекты организации этой работы.
Качество функционирования, надёжность и целостность ИТ, которые применяются, например, банковским учреждением, влияют на все аспекты его функционирования. Осуществление проверки оперативной деятельности, имеющей технологический характер, необходимо независимо от того, управляет ли этими операциями само учреждение или сторонний поставщик услуг или товаров. Для получения полной и объективной картины подверженности учреждения рискам, связанным с ИТ, анализу и проверкам должны подвергаться:

  • общая архитектура корпоративной информационной системы (ИС);
  • физическая схема локальной вычислительной сети (ЛВС);
  • корпоративные средства связи;
  • организация электронного обмена данными;
  • обеспечение безопасности и защиты информации;
  • работа с ключевой информацией;
  • разработка программного обеспечения и баз данных;
  • организация и сопровождение автоматизированных рабочих мест (АРМ);
  • установка на пользовательских АРМ программ и информационного наполнения;
  • готовность к нестандартным, нештатным и чрезвычайным ситуациям;
  • приобретение технических средств, программного и информационного обеспечения;
  • договора с партнёрами по разным вопросам информатизации, с провайдерами услуг, с центрами обработки данных, обслуживания и ремонта средств вычислительной техники;
  • деятельность учрежденческого ИТ-менеджмента среднего звена;
  • озабоченность высшего руководства учреждения вопросами информатизации;
  • организация непосредственно аудита ИТ, в частности: качество подготовки проверки, квалифицированность проверяющих, приверженность проверяющих этическим нормам (нет ли среди них таких, что «за бутылку» любой акт подпишут, ради своего человека скроют любую недоработку), независимость мнения проверяющих, наличие аудит-рисков и их величина, контроль исполнения аудиторских решений.

В таблице приводится примерный детализированный перечень названных проверок. Из этого перечня видно, что какие-то проверки относятся к организационным сторонам деятельности, а другие — к сугубо профессиональным, при выполнении которых от проверяющих требуются и знания, и опыт. Сразу же возникают вопросы, как аудиторам справиться с такими поверками, где взять грамотных ИТ-аудиторов? Набирать ли в ревизионные подразделения квалифицированных и опытных ИТ-специалистов, привлекать ли соответствующих экспертов со стороны? Ответы выстраиваются в следующей последовательности. Если есть сотрудник, квалифицированный в ИТ и опытный, то, естественно, он должен работать в ИТ-подразделении — дефицит на классных специалистов в таких подразделениях никогда не исчезает. Аудит потому и назван «внутренним», что выполнение его предполагается только собственными силами, привлечение экспертов со стороны нерационально — проверки в рамках внутреннего аудита должны выполняться проверяемыми, т. е. специалистами ИТ-подразделений под методологическим руководством специалистов аудита. При таком подходе ключевыми становятся вопросы правильной организации проверок.
Проверки, имеющие различную направленность, должны проводиться по-разному: выборочные, сплошные, документарные, аналитические. Во всех случаях руководящим является один принцип — проверки не должны мешать текущей работе учреждения. Иными словами, не должно быть несогласованных остановок работы пользователей, блокировок, отсутствия доступа к информации и т. д. Согласованных прерываний работы должно быть минимальное количество, для пользователей не должны создаваться дополнительные нагрузки и обязанности. Первейшее требование к проверкам — они в целом не должны нарушать и мешать деятельности учреждения, т. е. корпоративные данные не должны теряться, изменяться, реструктурироваться и т. п. Данные ни на миг не должны открываться или терять электронную цифровую подпись, если они имеют статус корпоративной или коммерческой тайны, т. е. являются закрытыми. Механизмы парольной защиты, санкционирования доступа и разграничения прав не должны выключаться.
При проверке правильности конструктивного или технологического решения достаточно провести выборочные проверки на типовых задачах или рабочих местах отдельных участков, таких как бухгалтерия, кассовые операции, отчётность или банковский надзор, если правильность решения подтверждается на выбранных позициях, значит, решение принято правильное. При анализе отсутствия недоработок и некорректной реализации проверки должны быть массовыми и подробными. В этом случае возникает большой объём работы, справиться с которым возможно, например, путём определения этапности и создания согласованного поэтапного графика работ. Аудит соответствия требованиям должен базироваться на документарных проверках и аналитической работе. В процессе каждого аудита обязательно должны проверяться средства и технологии контроля ИТ. Глубина всех аудиторских проверок должна быть максимальной. После анализа организационных мероприятий, документации и электронных служебных файлов, аудит информационных технологий может быть плавно переведён в их тест-проверки, т. е. в проверки их фактического состояния. При проведении технических проверок, необходимо иметь в виду наличие человеческого фактора буквально в каждом элементе ИТ. В качестве примеров тестирования человеческого фактора (реакции человека) можно назвать попытки проникновения проверяющих в помещения ограниченного доступа (например, следом за сотрудниками, имеющими право доступа, по «знакомству», по просроченному пропуску), создание необычной сетевой активности, изменение обычного режима работы и т. д. Проверки фактического состояния ИТ могут состоять из выполнения заранее согласованных тестовых примеров, тестовых примеров, которые предлагаются проверяющими, некорректных тестовых примеров или администраторских команд, а также из несанкционированных вмешательств в работу информационной системы. Поэтому важным этапом аудита ИТ является подготовка к проверкам.
На этапе подготовки к проверкам определяются вопросы, которые аудиторы намерены выяснить, а также что именно должно быть проверено, в каком объёме и в какие сроки. Выявляются состав конкретных тестовых примеров, перечень конкретных вмешательств в естественные ИТ-процессы, устанавливается минимальный круг должностных лиц, кто должен знать о тест-проверках. Интересным является процесс определения действий менеджеров высшего звена и отдела безопасности в случае, когда бдительные сотрудники «поймают» проверяющего на нарушении и доложат об этом. Обязательным и имеющим критическое значение является определение действий в случае, когда из-за проверок будет нарушена работа информационной системы или отдельной её службы. Для всех тестовых проверок ИТ на случай отрицательных результатов предусматриваются меры по моментальному восстановлению работоспособности. При выполнении непредусмотренных или некорректных заданий или команд должен обеспечиваться возврат на предыдущее, логически корректное состояние.
К подготовительной стадии аудита относится и организация рабочих коммуникаций между проверяющими и проверяемыми. Не является чем-то исключительным положение, обязывающее проверяющих предъявлять свои требования к проверяемым в письменном виде, а проверяемых — представлять для проверки все затребованные документы и иную информацию, а также обеспечивать доступ ко всем проверяемым объектам. Зато новаторской является точка зрения, согласно которой корпоративные технологии, несмотря на дополнительные, часто откровенно бюрократические затраты, должны вырабатываться такими, чтобы создавались условия для последующего аудита. Например, если системно-техническое подразделение строит свою работу с пользователями с применением технологических заявок, то для будущего аудита полноты и сроков исполнения в этих заявках должны предусматриваться номер заявки и фамилия исполнителя, по своим номерам заявки должны регистрироваться как поступившие или выполненные, в заявках указываются время исполнения и фамилия исполнителя. В других информационных работах затраты на обеспечение аудита могут быть более сложными и более значительными, но проверяемые должны смотреть на свои процессы глазами проверяющих — условия для аудита создаются безусловно, независимо от затрат. Заинтересованность верхнего уровня корпоративного менеджмента высшего звена в устойчивом состоянии ИТ проявится, в частности, в том, что эти затраты будут учтены и в штатном расписании соответствующих подразделений, и при оплате их труда.
Объёмы и последовательность проверок в каждом конкретном случае определяются в зависимости от заданной темы. Общим процессом для всех случаев проведения аудита является оформление результатов. Прежде всего ход работ, их промежуточные результаты, оценку и описание фактов и явлений следует отражать в отдельных протоколах и актах. Такая формализация представления итогов необходима для точного документарного отражения действий, что полезно для дальнейшего анализа, обобщений и накопления опыта (как правило, не будучи зафиксированным, всё очень быстро утрачивается). При оформлении промежуточных результатов рекомендуется установление весовых коэффициентов по каждому проверяемому компоненту, процессу или параметру, для того чтобы подготовить базу для определения композитных (сводных) заключительных оценок.
Окончательные оценки по результатам аудита могут быть представлены в нескольких видах: самое общее текстовое заключение, табличные оценки на основе промежуточных оценок и их весовых коэффициентов, оценки в виде рейтингов и т. д. По моему мнению, наиболее наглядным и технологичным является табличное представление, когда при оформлении каждого очередного промежуточного результата проверяющие выставляют компонентную оценку (например, по десятибалльной шкале) и определяют её весовой коэффициент, а общий итог составляется путём суммирования промежуточных оценок с учётом их веса. От величины итогового результата зависит его композитный рейтинг, а соответствующие этому рейтингу разъяснения1 позволяют автоматически определить управляющие воздействия. При подведении итогов следует предусматривать анализ материалов предыдущих проверок с целью выяснения, не возникают ли повторяющиеся проблемы.
По отношению к окончательным результатам проверяющие должны выполнять требование соблюдения конфиденциальности и недопустимости разглашения общих результатов и того рабочего состояния, которое они установили. Поэтому должны быть проработаны корпоративные требования к формам и объёмам высказывания проверяющими собственного мнения о проверках, общих оценках и о проверяемых (о качестве их работы). На мой взгляд, высказывать мнение и давать оценки проверяемым вправе только высший менеджмент проверяемого компонента, процесса или технологии.
Заключительным этапом внутреннего аудита ИТ, итогом завершения других проверок является разработка согласованного плана мероприятий по устранению недостатков, замечаний, реализации рекомендаций и т. д. Основное требование к этому этапу работ — конкретизация действий, сроков и ответственных исполнителей, а также обязательность отчёта ответственных исполнителей о выполнении мероприятий, являющихся безусловно необходимыми и выработанными ценой общих усилий проверяющих и проверяемых.
При высокой степени отлаженности процессов подготовки и проведения проверок, а также подведения их результатов внутренний аудит в рамках ИТ-подразделения может быть организован по каждому факту, явлению или этапу работ, и проверяющие сами себя информатизаторы осуществят проверку и анализ с такой изощрённостью, что говорить о рисках в отношении ИТ не придётся.

Примерный перечень проверок для внутреннего аудита отдела информационного обеспечения банковских операций

  1. Наличие должностных инструкций, определяющих обязанности сотрудников
  2. Наличие утверждённых планов работ
  3. Наличие приказов о назначениях исполнителей (в том числе замещающих) критических операций
  4. Отсутствие недопустимых совмещений обязанностей
  5. Наличие инструкций исполнителей на конкретных рабочих местах
  6. Наличие расписок исполнителей за инструкции на АРМ, где это положено
  7. Актуальность списка адресов абонентов на АРМ корпоративной электронной почты (ЭП)
  8. Возможность автоматического сбора уведомлений о доставке сообщений на АРМ корпоративной ЭП
  9. Учёт на АРМ корпоративной ЭП учёта переданной (принятой) информации
  10. Учёт программного обеспечения (ПО), поступившего централизованно, и его модификаций
  11. Наличие утверждённой документации на информационную систему (ИС)
  12. Наличие утверждённой схемы ЛВС
  13. Наличие корпоративного перечня программных и информационных ресурсов
  14. Наличие утверждённой конфигурации серверов, а также их программного и информационного наполнения
  15. Оформление, учёт и исполнение заявок на создание АРМ, установку ПО и информационных ресурсов
  16. Наличие и правильность ведения паспортов на АРМ
  17. Наличие на АРМ, обрабатывающих информацию «корпоративная или коммерческая тайна», технических средств защиты информации (СЗИ), организация администрирования СЗИ
  18. Соответствие заявкам программ и информационных ресурсов, установленных на АРМ
  19. Наличие и правильность ведения учёта и архивов программ самостоятельной разработки
  20. Хранение эталонного ПО
  21. Наличие концепций и методик тестирования устанавливаемых и обновляемых программ
  22. Готовность к нестандартным, нештатным и чрезвычайным ситуациям
  23. Контроль невозможности получения (изменений) прав и привилегий несанкционированным путём
  24. Организация корпоративных электронных архивов
  25. Контроль состояния мобильных элементов ИС
  26. Контроль работы с ключевой информацией
  27. Организация парольной защиты и антивирусной защиты
  28. Организация межсетевого экранирования в учрежденческой ЛВС и защиты её внешнего периметра

Автор: