Оценка соответствия требованиям стандарта
В случае проведения аудита на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов, позволяющих обеспечить такое соответствие.
Выработка рекомендаций
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом и особенностями обследуемой ИС.
В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.
В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы, либо детальных рекомендаций по внедрению конкретных программно технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние аудиторы могут принимать в этих работах самое активное участие.
Подготовка отчетных документов
Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.
ЗАКЛЮЧЕНИЕ
При проведении аудита в информационных систем предприятия сохраняются цель и основные элементы методологии аудита, однако изменяются требования к задачам аудиторской деятельности и появляются новые задачи. В практике проектирования компьютерной информационной системы аудиторской деятельности прослеживаются два принципиально различающихся подхода к их созданию: использование набора тестов (рабочих таблиц) и ориентирование на первичную информацию клиента; в рамках второго подхода создаются системы компьютеризации аудита по этапам и системы компьютеризации аудита по комплексам задач. Современные технологии обработки информации (на локальных рабочих местах, технологию "файл-сервер", технологию "клиент-сервер", полностью централизованную обработку), каждая из которых предполагает свои формы использования компьютеров, формы организации и ведения информационной базы учета и интеграцию учетных данных для составления отчетности. Выделяются три этапа технологии работы аудитора в условиях: подготовительный этап, проведение проверки и завершающий этап.[14]
Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков и включает рекомендации по их устранению. Заключение позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.
Машинно-ориентированные процедуры аудиторской проверки используют методы тестирования системы КОД, арифметической проверки, т.е. независимого выборочного пересчета точности источников документов и бухгалтерских записей, а также методы контроля, основанные на анализе программ. В аудиторской деятельности используются офисные программы, справочно-правовые системы, бухгалтерские программы, программыфинансового анализа, специальное программное обеспечение.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Трофимова В.В. Информационные системы и технологии в экономике и управлении / М.: Высшее образование, 2006. - 480 с.
2. Уткин В.Б. Информационные системы и технологии в экономике М.: ЮНИТИ-ДАНА, 2003. - 248с.
3. Подольский В.И., Поляк Г.Б., Савин А.А. и др. Аудит: Учебник для вузов – 2-е изд., перераб. и доп., - М.: ЮНИТИ-ДАНА, 2001. – 665 с.
4. Данилевский Ю.А. удит: организация и методика проведения. М.: Финансы и статистика, 1998 г. – 318 с.
5. Полисюк Г.Б. и др. Аудит предприятия. Организация аудиторских проверок и комплексный анализ финансовых результатов деятельности предприятия: Учебное пособие/Полисюк Г.Б., Кузьмина Ю.Д., Суханова Г.И.; М. – “Экзамен”, 2001 г. – 352 с.
6. А. П. Прокушева, Т. Ф. Липатникова, Н. А. Колесникова Информационные технологии в коммерческой деятельности Издательство: Маркетинг, 192 стр., 2001 г.
7. Скрипкин К. Г. Экономическая эффективность информационных систем Издательство: ДМК Пресс; 256 стр., 2002 г.
8. http://www.isaca.org - ассоциация открытой стандартизации аудита информационных систем ISACA
9. http:// ru.wikipedia.org – Википедия.
10. www.business-process.ru – Информационные системы
11. Калашников В.В. Организация моделирования сложных систем.-М.: Высшая школа, 1990.
12. Ю. Шафрин Информационные технологии. Часть 2 Издательство: Бином. Лаборатория знаний; 320 стр., 2002 г.
13. В. Б. Уткин, К. В. Балдин Информационные системы в экономике Издательство: Финансы и статистика , 288 стр., 2004 г.
14. В. А. Танков Основы аудита. Вопросы и ответы Москва 2006 г. 72 с.
15. Л.И. Хоружий, С.И. Басай – Актуальные проблемы аудита в России, 2000 г. 340 с.
16. Т.Г. Шешукова, М.А. Горолилов – Аудит: теория и практика применения международных стандартов, 2005 г. 256 с.
17. Г.А. Юдина, М.Н. Черных – Основы аудита, Москва 2006 г. 170 с.
18. С.М. Бычков, Т.Ю. Фомина – Практический аудит, 2009 г. 231 с.
19. Ж.А. Морозова – Планирование в аудите, 2005 г. 267 с.