наявність спеціальних контрольних процедур для моніторингу функціонування середовища комп'ютерної обробки даних;

аналіз програмного забезпечення й наявність ліцензій;

відповідність застосовуваних алгоритмів вимогам нормативної документації по веденню обліку й стану звітності по основних автоматизованих розрахунках (бізнес-процесам);

можливості гнучкого реагування на зміни законодавства з погляду настроювання (відновлення) програмного забезпечення;

можливості розширення функцій наявних комп'ютерно-інформаційних

систем;

питання інформаційної безпеки (обмеження несанкціонованого доступу); аналіз загальної інформаційної політики й планів розвитку системи інформаційних технологій суб'єкта, що перевіряється.

На тлі розвитку бізнесу стрімко збільшується кількість оброблюваних облікових даних, збільшується число інформаційних систем, що автоматизують різні види діяльності. В умовах великого підприємства із широкою інформаційною архітектурою для керівництва не завжди прозора діяльність співробітників які розробляють, впроваджують і підтримують всю сукупність інформаційних систем, а також модель взаємодії інформаційних систем різних рівнів. Рішенням цього завдання і може зайнятись аудит інформаційних систем і технологій. У цій області на сьогоднішній день найбільш актуальними стають наступні завдання:

аналіз ризиків існуючої комбінації інформаційних систем за різними показниками. Дане завдання містить у собі повну перевірку всіх інформаційних систем підприємства, їх взаємодії, виявлення недоліків і невідповідностей, формулювання пропозицій (рекомендацій) по вдосконаленню використання існуючих інформаційних систем і роботи відділу інформаційних технологій в цілому;

аналіз результатів процесу впровадження нового обладнання й програмного забезпечення при необхідності оцінки ефективності придбаного підприємством дорогого встаткування й витрат на впровадження нових автоматизованих систем;

аналіз планованих до впровадження автоматизованих інформаційних систем і визначення їх можливої ефективності й економічної обгрунтованості впровадження.

У результаті виконання аудиторських процедур по перевірці інформаційних систем і роботи фахівців відділу інформаційних технологій керівництво підприємства одержить аудиторський висновок по всіх істотних питаннях, як-от:

оцінка ступеня автоматизації й настроювання облікових процесів;

адекватність контрольних процедур;

аналіз однорідності й сумісності системних рішень;

аналіз ризиків, пов'язаних із впровадженням нових інформаційних систем; помилки й невідповідності в автоматизованих інформаційних системах; моніторинг працездатності й продуктивності інформаційних систем, реакція й дії в критичних ситуаціях;

питання схоронності інформації й відновлення даних;

оцінка якості інформаційної безпеки (організація й керування ролями й повноваженнями в інформаційних системах, парольна політика, аудит подій і дій користувачів, контроль несанкціонованого доступу);

структура ролей у відділі інформаційних технологій і ступінь залежності безпеки підприємства від цих кадрів, оцінка кваліфікації таких співробітників і процес підтримки повноти й актуальності бази знань у даній області, мотивація персоналу з метою зниження ризиків втрати кадрів, що володіють реальним практичним досвідом.

При вирішенні аудитором завдання аналізу результатів процесу впровадження нового обладнання й програмного забезпечення проводиться огляд проекту впровадження з метою його поточного виконання, оцінки адекватності контрольних процедур у процесі керування проектом, а також ступеня виконання рекомендацій зовнішніх консультантів у рамках проекту по забезпеченню якості впровадження інформаційних систем. Основні етапи аудиту впровадження інформаційних систем і технологій, схематично представлено на рисунку 1.

На першому етапі зазвичай перевіряється відповідність інформаційної системи очікуванням керівництва, аналізується процес прийняття рішень у процесі автоматизації, відмінність реалізованої системи від запланованої на початковому етапі впровадження.

Самим складним, тривалим і трудомістким етапом перевірки є наскрізне тестування впровадженої облікової системи. Групі аудиторів необхідно не тільки перевірити відповідність роботи системи заданим алгоритмам, повноту й коректність облікових даних, але й провести перевірку роботи програмного контролю підтвердження (узгодження) документів у системі, що визначає ієрархію відповідальності й адекватне розмежування повноважень. Крім того, необхідно оцінити ступінь автоматизації облікових процесів, щоб мінімізувати додаткові трудозатрати, пов'язані з ручним контролем. У процесі тестування аудитором оцінюється також досконалість системи автоматичного контролю некоректних дій в обліковій системі (непідтверджених, фальсифікованих даних, помилок ручного уведення), що дозволяє знизити фінансові ризики. У системі повинні бути організовані періодичні звірення,

аналізи даних і звітів з метою виявлення можливих відхилень. Однієї з найважливіших характеристик впровадженої системи є можливість інтеграції з іншими інформаційними системами, можливості автоматичного імпорту/експорту, програмна верифікація підсумків даних різних систем.

Питанням надійності й безпеки системи в ході перевірки також приділяється значна увага. Недоліки організації контролю доступу до системи виявляються за допомогою спеціалізованих аудиторських процедур: практики періодичного аналізу прав користувачів на предмет їх надмірності, наявності системного підходу до поділу повноважень за допомогою обмеження доступу до бізнес-функцій. Невиконання даних вимог може привести до серйозних наслідків: несанкціонованому доступу до даних і виконання неавторизованих операцій у системі, неможливості однозначного визначення відповідальності за зміни. Аудитором може бути рекомендовано сформувати матрицю розмежування повноважень для забезпечення дотримання принципів мінімальних прав доступу, документувати всі зміни в системі контролю доступу й привести їх у відповідність із посадовими обов'язками.

На наступному етапі проводиться аналіз права доступу розроблювачів і співробітників відділу інформаційних технологій до системи. Розроблювачі, як правило, мають необмежений доступ до облікової системи, співробітники відділу інформаційних технологій мають необмежені права в системі на рівні модулів, задіяних в автоматизованих ними процесах. Це збільшує ризики несанкціонованої зміни даних облікової системи в результаті ненавмисних або навмисних дій користувачів, що мають необмежені права й при цьому не несуть пряму відповідальність за дії в системі. Рекомендації аудиторів у цьому випадку можуть бути наступними: проведення аналізу виробничої потреби наявності у співробітників необмежених прав у системі, аналіз процесу керування змінами й доступом, забезпечення протоколювання всіх дій користувачів, що володіють розширеними повноваженнями, організація аудита подій, що дозволяє однозначно встановити відповідальність