Logo ru.artbmxmagazine.com

Внутренний аудит деловой информации

Оглавление:

Anonim

Специализированный характер аудита информационных систем и навыки, необходимые для проведения этого вида аудита, требуют разработки и обнародования общих стандартов аудита информационных систем.

Аудит информационных систем определяется как любой аудит, который включает обзор и оценку всех аспектов (или любой их части) систем автоматической обработки информации, включая неавтоматические процедуры, связанные с ними, и соответствующие интерфейсы.

Чтобы правильно спланировать аудит информатики, необходимо выполнить ряд предыдущих шагов, которые позволят определить размер и характеристики проверяемой области в организме, ее систем, организации и оборудования.

Далее приводится описание двух основных целей системного аудита, которые представляют собой оценку процессов обработки данных и компьютерного оборудования с элементами управления, типами и безопасностью.

Определение аудита

Он определяется как систематический процесс, который состоит из получения и объективной оценки доказательств в отношении экономических актов и событий; чтобы определить степень соответствия между этими утверждениями и установленными критериями, а затем сообщить результаты заинтересованным сторонам.

Типы аудита

Существует несколько типов аудитов, среди которых системный аудит объединяет параллельный, но другой и особенный мир, подчеркивающий его подход к вычислительной функции.

В качестве анализа этой таблицы необходимо подчеркнуть, что системный аудит отличается от финансового аудита.

Среди основных аудиторских подходов у нас есть следующие:

Основные подходы к аудиту

Информационный аудит

  • Это проверка средств контроля при обработке информации, разработке и установке систем с целью оценки их эффективности и представления рекомендаций руководству. Изучение и оценка процессов зоны автоматической обработки данных (PAD) и использование ресурсов, задействованных в них, с целью определения степени эффективности, результативности и экономичности компьютеризированных систем в компании и представления выводов и рекомендаций, направленных на исправление существующих недостатков и их исправление. оценка стандартов, средств контроля, методов и процедур, установленных в компании для обеспечения надежности, своевременности, безопасности и конфиденциальности информации, которая обрабатывается в информационных системах.

Информационный аудит - это специализированная отрасль аудита, которая продвигает и применяет концепции аудита в области информационных систем. Конечная цель аудитора состоит в том, чтобы дать рекомендации старшему руководству по улучшению или обеспечению адекватного внутреннего контроля в среде информационных технологий для достижения большей операционной и административной эффективности.

Информационный аудит - это систематический процесс определения информации, которая необходима организации для достижения своих целей и, следовательно, для правильного функционирования. Его цель - обеспечить, чтобы информация, которая будет распространяться через систему, была наиболее подходящей для организации. Под информационным аудитом подразумевается, что организация получает только ту информацию, которая соответствует ее интересам, тем самым уменьшая молчание (не получая релевантную информацию) и шум (получение несоответствующей информации) и требования к информации. организации (то есть информации, которая необходима для правильного функционирования).

Один из предыдущих шагов, которые необходимо учитывать перед проведением информационного аудита, состоит в знании целей и приоритетов организации, структуры организации, стилей управления, которые выполняются, и взаимосвязей. с окружающей средой.

Когда аудит проводится извне организации, важно, чтобы ее работа поддерживалась руководством организации. Без этой поддержки любая мера безнадежно потерпит неудачу. Основная проблема заключается в том, что информация, как правило, скрывается членами организации, как если бы она была источником сокровищ.

Учитывая это, политика обмена информацией должна быть разработана таким образом, чтобы облегчение распространения информации было каким-то образом компенсировано.

Аудит должен идентифицировать использование, ресурсы и поток информации. Для этого мы должны знать, какие информационные ресурсы есть у организации, как ими пользоваться и какие результаты получены, какое оборудование доступно и у кого оно есть, стоимость, ценность, которую оно вносит в организацию. и какой тип персонала выполняет эти функции.

Кроме того, важно, чтобы члены фирмы были проинформированы обо всем, что они делают, чтобы они могли сотрудничать в полной мере.

Сходства и различия с традиционным аудитом

сходства:

  • Никаких новых стандартов аудита не требуется, они одинаковы. Основные элементы хорошей системы внутреннего контроля остаются неизменными; Например, правильное разделение обязанностей. Основными целями изучения и оценки внутреннего бухгалтерского контроля являются получение доказательств, подтверждающих мнение и определение основы, сроков и объема будущих аудиторских доказательств.

Отличия:

  • Установлены некоторые новые аудиторские процедуры. Существуют различия в методах, направленных на поддержание адекватного внутреннего бухгалтерского контроля. Существует некоторое различие в способах изучения и оценки внутреннего бухгалтерского контроля. Существенным отличием является то, что в некоторых процессах используются программы: упор на оценку ручных систем делается на оценку транзакций, а на компьютерные системы - на оценку внутреннего контроля.
  • Ищите лучшее соотношение затрат и выгод для автоматических или компьютеризированных систем, разработанных и реализованных PAD. Увеличьте удовлетворенность пользователей компьютеризированных систем. Обеспечьте большую целостность, конфиденциальность и надежность информации, рекомендуя меры безопасности и контроля. Знать текущую ситуацию в области вычислительной техники, а также действия и усилия, необходимые для достижения поставленных целей. Безопасность персонала, данных, оборудования, программного обеспечения и средств. Поддержка ИТ-функций в соответствии с целями и задачами организации. Безопасность, полезность, доверие.конфиденциальность и доступность в компьютерной среде. Минимизируйте риски при использовании информационных технологий. Инвестиционные решения и ненужные расходы. Обучение и образование в области управления в информационных системах.

1. Участие в разработке новых систем:

  • Оценка контроля Соответствие методологии.

2. Оценка безопасности в компьютерной области.

3. Оценка достаточности в планах действий в чрезвычайных ситуациях.

  • Резервные копии, укажите, что произойдет в случае сбоя.

4. Мнение об использовании компьютерных ресурсов.

  • Защита и защита активов.

5. Модификация управления существующими приложениями.

  • FraudesControl для модификации программы.

6. Участие в переговорах по контрактам с поставщиками.

7. Обзор использования операционной системы и программ

  • Утилиты. Контроль за использованием операционных систем. Утилиты.

8. Аудит базы данных.

  • Структура, на которой разрабатываются приложения…

9. Аудит телепроцессной сети.

10. Разработка программного обеспечения для аудита.

Конечной целью хорошо реализованного системного аудита является разработка программного обеспечения, способного постоянно контролировать операции в области обработки данных.

Причины существования функции информационного аудита

1. Информация является ключевым ресурсом в компании для:

  • Планируйте будущее, контролируйте настоящее и оценивайте прошлое.

2. Деятельность компании все больше зависит от систематизации.

3. Риски имеют тенденцию к увеличению из-за:

  • Потеря информации Потеря активов Потеря услуг / продаж.

4. Систематизация представляет собой значительные затраты на

  • Компания с точки зрения: аппаратного, программного обеспечения и персонала.

5. Проблемы выявляются только в конце.

6. Постоянный технологический прогресс.

  • Значительное и неоправданное увеличение бюджета PAD (Отдел обработки данных) Отсутствие знаний на управленческом уровне о компьютерной ситуации в компании.Полное или частичное отсутствие логических и физических гарантий, гарантирующих целостность персонала, оборудования и информации. мошенничество с компьютером. Отсутствие компьютерного планирования. Организация, которая работает неправильно, отсутствие политик, целей, стандартов, методологии, распределение задач и адекватное управление человеческими ресурсами. Общее недовольство пользователей из-за несоблюдения сроков и низкого качества Из результатов.
  • Комплексное и всестороннее понимание бизнеса, его ключевых точек, критических областей, экономической, социальной и политической среды. Понимание влияния систем на организацию. Понимание целей аудита. Знание вычислительных ресурсов компании. Знание системных проектов.

Контроль за информационным аудитом

В информационном аудите также должны быть установлены процессы контроля и проверки.

Результатом этих процессов может быть отчет или даже сертификат, подтверждающий, что все правильно, или включающий рекомендации по улучшению. Следует иметь в виду, что карта информационных ресурсов или документальная карта может являться одним из основных результатов процесса аудита информации.

В случае с документальной картой, она детализирует, какие документы находятся внутри организации, с какими типами функций они связаны и отвечают, кто несет ответственность и доступ к этим документам, на каком носителе они доступны, где и как они доступны и какие отношения или уровень интеграции они имеют с остальными информационными системами организации. Расположение всех документов в рамках стандартов и процедур организации также установлено, а также их значение для корпоративных знаний.

Общая классификация контролей

Это те, которые уменьшают частоту, с которой возникают причины риска, допуская определенный запас нарушений.

Примеры: знак «Не курить» для защиты объектов

Системы доступа к ключам.

Это те, которые не предотвращают возникновение причин риска, но выявляют их после того, как они произошли. Они являются наиболее важными для аудитора. В некотором смысле они служат для оценки эффективности профилактического контроля.

Пример: файлы и процессы, которые служат контрольными журналами

Процедуры валидации

Они помогают расследованию и устранению причин риска. Правильное исправление может быть трудным и неэффективным, требующим реализации детективного контроля над корректирующим контролем, поскольку исправление ошибок само по себе является очень подверженной ошибкам деятельностью.

Конкретные элементы управления в физической и логической части подробно описаны ниже

Подлинность: они позволяют проверить личность

  • ПаролиЦифровые подписи

Точность: обеспечивает согласованность данных

  • Валидация полей Валидация излишеств

Совокупность: они позволяют избежать пропуска записей, а также гарантируют завершение процесса доставки

  • Записать контрольные цифры

Избыточность: избегайте дублирования данных

  • Пакетная отмена подтверждения последовательности

Конфиденциальность: они обеспечивают защиту данных

  • Шифрование

Существование: они обеспечивают доступность данных

  • Ведение журнала активов

Защита активов: уничтожение или повреждение информации или оборудования

  • Пароли огнетушителей

Эффективность: они обеспечивают достижение целей

  • Обследования удовлетворенности Измерение уровня обслуживания

Эффективность: они обеспечивают оптимальное использование ресурсов

  • Мониторинг программ Анализ затрат и выгод

Частота смены кодов доступа

Изменения кодов доступа к программам должны проводиться периодически.

Обычно пользователи привыкли хранить тот же ключ, который им изначально назначен.

Отсутствие смены ключей периодически увеличивает вероятность того, что неавторизованные люди узнают и используют ключи пользователей компьютерной системы.

Поэтому рекомендуется менять пароли как минимум раз в квартал.

Буквенно-цифровая комбинация в кодах доступа

Неудобно, что ключ состоит из кодов сотрудников, так как неавторизованный человек с помощью простых тестов или вычетов может найти этот ключ.

Чтобы переопределить ключи, необходимо рассмотреть типы ключей, которые существуют:

  • одиночный разряд

Они принадлежат одному пользователю, поэтому он индивидуальный и личный. Этот ключ позволяет во время совершения транзакций регистрировать ответственных за любые изменения.

  • конфиденциальный

Конфиденциально, пользователи должны быть официально проинструктированы относительно использования паролей.

  • Незначительный

Ключи не должны соответствовать порядковым номерам, именам или датам.

  • Используйте программное обеспечение безопасности на микрокомпьютерах

Программное обеспечение безопасности позволяет ограничить доступ к микрокомпьютеру, чтобы его мог использовать только авторизованный персонал.

Кроме того, это программное обеспечение усиливает разделение функций и конфиденциальность информации с помощью элементов управления, так что пользователи могут получить доступ только к тем программам и данным, для которых они авторизованы.

Программы этого типа: WACHDOG, LATTICE, SECRET DISK и другие.

Методология информационного аудита

Мы должны сказать, что сегодня не существует стандартной методологии для проведения информационного аудита, однако мы можем разработать ряд действий и методов, которые могут помочь нам выполнить их:

Инвентаризация

Это процесс выявления и классификации информационных ресурсов на систематической основе. Таким образом, предоставляется фотография того, что организация имеет с точки зрения информационных ресурсов в данный момент времени.

Массовое распространение информации

Это графический способ представления информационных ресурсов, существующих в организации, и взаимосвязей между ними. Карта ресурсов показывает, в какой степени информационные ресурсы являются базовыми, как они расположены (географически, на уровне департамента, с технической точки зрения), как они взаимодействуют, кто их использует, кто несет ответственность и т. Д.

Анализ информационных потребностей

Его основная цель - определить, какая информация требуется сотрудникам и руководству организации для развития их ролей и достижения целей.

Графика процессов и рабочих процессов.

Диаграммы процессов вместе с рабочими процессами могут быть хорошим рабочим инструментом в области информационных аудитов.

Роль аудита в информационном контроле

Основная роль аудита в информационной системе любого субъекта имеет первостепенное значение, ниже мы упомянем некоторые из более важных.

Огромные возможности, которые нынешние компьютерные системы предлагают нам для доступа к большим объемам информации и обработки больших объемов документации, не всегда имели равный отклик в производительности значительной части профессиональных фирм и не привели к заметным улучшениям в документальное управление организациями.

Это происходит потому, что большую часть времени инвестиции в информационные системы (компьютерное и коммуникационное оборудование и программное обеспечение) осуществляются без необходимого предварительного анализа реальных информационных потребностей профессионального консультанта или офиса. Очень немногие фирмы нанимают экспертов по файлам и документации или привлекают квалифицированных специалистов для определения:

  • Информационные потребности специалистов или ключевых отделов консалтинга. Документация, создаваемая самой организацией. Ресурсы или источники внешней информации, существующие на рынке. Документальные потоки или схемы. Существует тенденция к функциям и обязанностям, вытекающим из Управление документооборотом распределяется между разными людьми или отделами, при этом ни один из них не берет на себя задачу адекватного использования преимуществ синергии, возникающей между каждой из затронутых функций.

Анализ проблемы должен начинаться с восприятия того, что имеет более насущный интерес, а что обычно является самым близким. Распространено обнаруживать ряд признаков:

  • Отсутствие ответа на запрос документов в течение неточных периодов времени (документы не найдены или, когда ответ получен, он поступает с чрезмерной задержкой). Используемая информация не достигает требуемого уровня качества (используется недостаточная документация, ненадежный или плохо представленный). Накопление документации очень велико, как в файловых хранилищах, так и на рабочих столах (документация разбросана по всему офису, не зная, где ее найти). Все согласны с этим в том, что управление документацией не работает правильно и что необходимо исправить эту ситуацию.

Некоторые из проблем управления административной документацией могут заключаться в:

  • Административная традиция. Управление административными документами осуществляется разными людьми, и каждый из них делает это по-своему. Обычно замена начальника отдела или главы бизнес-сферы вызывает радикальные изменения в трактовке документов.Недостаточное понимание того, что управление документами является еще одной частью административного управления. Этот недостаток приводит к несогласованности документальных схем, отсутствию координации между персоналом, который разделяет обработку документа, неравным рабочим нагрузкам, плохо установленным рабочим приоритетам.Эти недостатки отражаются в особой и неотложной необходимости решения насущных проблем. в ущерб целостному управлению документацией, которая включает в себя все консультации (в повседневной жизни я организую себя).

Тенденции, влияющие на информационные системы

При рассмотрении информационной системы как набора правил и общих процессов данной системы следует учитывать некоторые негативные и позитивные моменты, которые непосредственно влияют на систему, например:

Это относится к тому факту, что информационные системы любой компании должны периодически пересматриваться; не с постоянной частотой, а рекомендуется проводить раз в два года ежегодные обзоры (не рекомендуется, чтобы они обновлялись в компании постепенно, например, программное обеспечение, статистические таблицы, рекомендуется в течение года менять его, все, что машины и программное обеспечение, потому что, если бы мы этого не сделали, вся организационная структура была бы изменена).

(Это может быть реструктуризация с одинаковыми позициями). Организационная реструктуризация в любой компании подразумевает изменения, всегда нацеленные на поиск лучшей работы, избежание бюрократии, упорядочение процедур или процессов, например, реструктуризация может быть различных типов. Увеличение или уменьшение отделов, должностей, объективной реструктуризации и т. Д. Реструктуризация всегда затрагивает информационные системы компании.

(Это не для хорошего, но и для плохого)

Ожидается, что пересмотр и переоценка рейтинга окажет влияние на информационные системы компаний. Если эффект обратный, аудитор должен выпустить отчет о сотрудниках (особенно из департаментов), которые бойкотируют информацию компания.

(Данные для информационной системы)

Это относится к изменению потока данных исключительно в компьютерной области, это напрямую влияет на компьютерную систему и, следовательно, на информационную систему. Что касается аудита ИТ, эффект может быть положительным и отрицательным, в зависимости от результатов, полученных с точки зрения обработки данных (меньше безопасности, больше безопасности, резервное копирование). Например:

Поток информации в области бухгалтерского учета был изменен, чтобы генерировать ежемесячные роли (с самого начала роли он выполнялся секретарем, который вводил данные о запасах, неисправностях, задолженностях и т. Д.; определял сумму, подлежащую дисконтированию. Общая сумма и окончательный оклад, который был передан бухгалтеру таким образом, чтобы он особенно оправдывал штрафы, в некоторых случаях он исправлялся, и бумага отправлялась на печать. Это считается новым потоком информации, в котором данные вводятся в компьютерную систему, и в соответствии с параметрами и положениями компании, система выдает ликвидную заработную плату, которая автоматически собирается, проверяет, а бухгалтер только утверждает этот отчет).

(Например, когда происходит миграция данных, информация переносится или изменяется на другую более сложную систему).

Концептуальная основа

На основе информационной системы аудитор будет проводить свое исследование и анализ, следуя любой методологии работы, но не отклоняясь от концептуальной основы информационной системы аудируемой компании.

Если по какой-либо причине аудитор воспринимает и, по крайней мере, думает, что он взял параметры, которых нет в информационной системе, он должен обязательно начать заново.

Концептуально, информационные системы основаны на некоторых важных аспектах в любой компании:

  1. Экономические аспекты

    следует учитывать ресурсы предприятия, кризисы, контроля, технология etc.Aspectos

    относится к оборудованию внутри компании, вы должны рассмотреть вопрос об увеличении изменений, либо программное обеспечение или социальный hardware.Aspectos

    является относится к улучшениям, нацеленным на сотрудников компании, например, к курсам, обучению и т. д. Правовой политический аспект

    Относится к нормам и законам, действующим для компаний, как внутренних, так и внешних, необходимо учитывать правовой аспект, особенно в программном обеспечении. Административный

    аспект Относится к отношениям на уровне управления, большей уверенности в принятии позиций, решений или состояний, всегда в пользу компаний.

вывод

Главным образом, после завершения этой работы, основной вывод, который нам удалось сделать, заключается в том, что любая компания, государственная или частная, с умеренно сложными информационными системами, должна строго контролировать оценку эффективности и результативности. Сегодня 90 процентов компаний структурируют всю свою информацию в компьютерных системах, поэтому жизненно важно, чтобы информационные системы работали правильно.

Компания сегодня должна быть компьютеризирована. Успех компании зависит от эффективности ее информационных систем.

Компания может иметь штат первоклассных людей, но у нее есть подверженная ошибкам, медленная, уязвимая и нестабильная компьютерная система; Если нет никакого баланса между этими двумя вещами, компания никогда не продвинется вперед.

Что касается работы самого аудита, мы можем отметить, что требуется хорошее знание ИТ, серьезности, потенциала, тщательности и ответственности; информационный аудит должен проводить высококвалифицированный персонал, плохо проведенный аудит может иметь серьезные последствия для проверяемой компании, в основном, экономические.

Внутренний аудит деловой информации
администрация

Выбор редактора

Анализ протекционизма в мире. тест

Анализ протекционизма в мире. тест

Анализ работы и дизайн

Анализ работы и дизайн

Анализ и проектирование логистических систем

Анализ и проектирование логистических систем

Анализ пользователей компьютерных технологий

Анализ пользователей компьютерных технологий

Анализ и разработка позиций в управлении персоналом

Анализ и разработка позиций в управлении персоналом

Анализ и оценка финансового положения компании

Анализ и оценка финансового положения компании

© Copyright ru.artbmxmagazine.com, 2024 Сентябрь | О сайте | Контакты | Политика конфиденциальности.