* достаточность вычислительной мощности технических средств для обработки данных в организации;
* соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.
В части контроля за программным обеспечением регулярной проверке подлежат:
- лицензионная чистота программного обеспечения, так как помимо юридических проблем при отсутствии лицензий сопровождение программных продуктов производителями не осуществляется и это может привести к серьезным сбоям в их работе;
- логическое разграничение прав доступа к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, что предотвращает несанкционированные действия и ограничивает доступ к конфиденциальной информации;
- порядок внесения изменений в программные продукты, смены версий, санкционированность и проработанность подобных действий, так как именно процесс изменений не только сам по себе несет существенные риски, но и способствует выявлению или обострению смежных проблем;
- система протоколирования всех действий пользователей в информационных системах, предоставляющая возможность оперативного контроля и проведения внутренних расследований;
- надежность системного программного обеспечения и используемой СУБД (системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;
- достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;
- наличие верификации прав доступа (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;
- корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя (расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация);
- корректность справочных данных, используемых при различных расчетах и операциях в информационных системах (курсы валют, процентные ставки, банковские идентификационные коды).
Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:
* общая структура служб ИТ и ее соответствие поставленным задачам;
* существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;
* регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;
* оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;
* технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующих требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ-персонала (при собственной разработке);
* технологии проведения отдельных операций с точки зрения их соответствия регламентам, политике информационной безопасности, удобства и эффективности их автоматизации;
* технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;
* наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий резервной вычислительной площадки и возможности быстрого восстановления данных.
Описанный выше подход является первой практической реакцией на требования дня. При более глубоком анализе проблемы становится очевидно, что следует широко (комплексно) подходить к ее решению. Необходимо дать аудиторам (как внутренним, так и внешним) методологию проверки, содержащую программу аудита, основные критичные циклы, систему оценки, возможность делать не только замечания, но и давать рекомендации по улучшению. Но многие аудиторы не имеют специальных технических знаний и самостоятельно не способны разработать методику проверки ИС. С другой стороны, для минимизации рисков в условиях компьютерной обработки данных необходимо не только проводить проверку, аудит ИС, но и правильно построить управление ими, внедрить эффективную систему внутреннего контроля. Что же делать в этой ситуации? К счастью, решение существует - это уже упоминавшийся СоblТ.
Нами были приведены общая схема описанных областей, их составляющие и система взаимодействия, которая в методологии СоblТ называется "золотое правило".
По каждой из областей эта методология содержит детальное описание аудита, рекомендации по оценке и совершенствованию внутреннего контроля, то есть все то, что мы уже отмечали и что так необходимо с точки зрения аудита в условиях компьютерной обработки данных. Методология СоblТ представляет собой набор из нескольких книг: руководство по аудиту, руководство для менеджмента, контрольные процедуры, руководство по внедрению.
Однако следует отметить, что внедрение подобной методологии является сложной задачей и не всегда может быть осуществлено без посторонней консалтинговой помощи. Это связано с тем, что в процессе внедрения необходимо оценить последовательность действий и сформулировать систему приоритетов. Также часто необходим практический опыт организации подобных процессов в других организациях.
Широкое использование информационных технологий в современной организации трансформирует задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. Это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции и подталкивает организации на использование передовых международных подходов в области аудита в условиях компьютерной обработки данных.
Для иллюстрации приведем отчет по результатам аудита информационных систем банка внешним аудитором - крупнейшей международной консалтинговой компанией (табл. 13).
Отчет по результатам аудита информационных систем банка
┌─────────────────────┬────────────────────────┬────────────────────────────────────────────────┬──────────┐
│ Ситуация │ Риск │ Рекомендация │ Приоритет│
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│ 1 │ 2 │ 3 │ 4 │
├─────────────────────┼────────────────────────┼────────────────────────────────────────────────┼──────────┤
│Стратегия ИТ│Подобная ситуация может│Мы рекомендуем банку: передать функцию│ !!! │
│существует, однако ее│привести к│стратегического планирования в области ИТ│ │
│основные направления│несоответствию целей и│высшему руководству банка; │ │
│не доведены до│задач ИТ│распределить обязанности по стратегическому│ │
│сведения многих│бизнес-стратегии, что в│планированию в области ИТ; │ │
│работников банка и│свою очередь может│формализовать и задокументировать стратегический│ │
│руководителей │привести к│план в области ИТ, включая определение│ │
│функциональных │неэффективному │бизнес-задач и потребностей для ИТ, анализ│ │
│подразделений │использованию бюджета ИТ│технологических решений и текущей│ │
│ │и повышенным затратам │инфраструктуры, оценку требуемых организационных│ │
│ │ │изменений и существующих систем, направления│ │
│ │ │развития ИТ на срок от 3 до 5 лет; │ │
│ │ │разработать и внедрить процедуры оценки рисков│ │
│ │ │ИТ как часть системы корректировки стратегии в│ │
│ │ │области ИТ; │ │
│ │ │объединить стратегическое планирование в области│ │
│ │ │ИТ с функцией бизнес-планирования; распределить│ │
│ │ │ответственность за распространение информации о│ │