Введення в інформаційні технології для аудитора

Максим Померко, CISA, Член Правління Інституту внутрішніх аудиторів України

У першій моїй статті по тематиці ІТ-аудиту "Інформаційні технології - нові виклики і реалії для керівника внутрішнього аудиту" ( http://www.www.iia.org.ua//?page_id=641 ) Було відзначено, що сучасні інформаційні технології кидають масу викликів для керівника внутрішнього аудиту. При цьому слід мати на увазі, що внутрішніми аудиторами стають, в основному, люди з гуманітарними знаннями, а не технічними, і розуміння предмета аудиту для таких фахівців є закритою областю, ключик від якої не всякому внутрішньому аудитору вдається знайти.

Тому є необхідність допомогти таким колегам знайти правильний підхід до предмета, ясне розуміння, що ж таке ІТ, і, головне, як його перевіряти, як аналізувати його ризики для організації, для бізнесу, як давати правильні відповіді і рекомендації керівництву і акціонерам.

У серії статей, присвячених аудиту ІТ, мені хотілося б дати читачеві відповіді на наступні питання, про які "болить голова" у керівника внутрішнього аудиту:

  • Що таке аудит інформаційних технологій (ІТ)
  • Які основні завдання у аудиту ІТ та його керівника
  • Які особливості управління технологічної функцією внутрішнього аудиту

Буду сподіватися, що мені вдасться відкрити завісу моїм колегам з фінансово-операційного цеху, і цей матеріал стане в нагоді їм на новому і складному шляху освоєння технологічних аспектів і ризиків в бізнесі.

Бізнес і Технології - тісний зв'язок

У нашому сучасному технологічному світі інформаційні технології відіграють вкрай важливу роль в розвитку бізнесу і досягненні його цілей. Візьміть світових гігантів бізнесу, які на слуху - Google, Apple, Vodafone, Barclays і HSBC, Mitsubishi Industries і Toyota. Перераховувати їх немає сенсу, і важлива складова успіху цих компаній зараз пов'язана з технологіями обробки інформації, які спрямовані на виконання завдань в досягненні цілей акціонерів титанів своїх галузей.

Інформаційні технології дозволяють автоматизувати ручні процеси, звільняють кваліфіковану робочу силу від рутинної праці, значно прискорюють всі процедури, в тому числі роблять ефективним процес прийняття рішень, дають структуровану і важливу інформацію для успішного управління бізнесом. Значення ІТ в бізнесі переоцінити складно.

Так само важливо вплив самого бізнесу на ІТ. Ніколи не можна забувати, що саме бізнес ставить завдання перед технологіями, а не навпаки. Акціонери ставлять цілі свого бізнесу, а інструментом досягнення цих цілей є технологія - будь-яка: виробнича, управлінська, інформаційна. І ви знаєте, що без інструменту виконати завдання вельми складно, і якщо можливо, то навряд чи швидко і ефективно. Інформаційні технології, ІТ - ось зараз найважливіший інструмент в руці менеджера організації, і на скільки ефективно цей інструмент працює, настільки ж ефективно поставлена ​​мета організації буде досягнута.

Такий тісний зв'язок може бути описана наступною формулою взаємоузгодження бізнесу та ІТ:

"Бізнес направляє Інформаційні Технології, Інформаційні Технології дають можливість Бізнесу досягти своїх цілей".

Малюнок 1 нижче наочно це демонструє:

Малюнок 1 нижче наочно це демонструє:

Мал. 1 Взаимоувязка бізнесу та ІТ






Останні технологічні тренди

Як інструмент бізнесу, ІТ значно розвинулися і ускладнилися за останні кілька десятиліть, і без ІТ-рішень немислимий жоден серйозний бізнес-проект. Взяти наприклад те, без чого не може жити жодна організація - облік. Якщо компанія не велика, вона використовує автоматизовану програму для ведення фінансового обліку, наприклад QuickBooks або вітчизняний аналог - 1С. Серйозні великі компанії вже впроваджують промислові рішення для своїх завдань обліку. Це ERP- системи, такі наприклад, як Navision, Oracle eBusiness Suite, People Soft або SAP. У банках - це ключові програмні комплекси Операційного Дня Банку (ОДБ). І якщо раніше облік починався з таблиць, регістрів, журналів, розташованих на одному-двох комп'ютерах в бухгалтерії, то зараз це обов'язково потужний сервер, мережевий доступ і складний функціонал додатка для великої кількості клієнтів.

Дальше більше. Великий бізнес не може задовольнятися одним обліковим сервером. Зараз маса операційних завдань автоматизована і зав'язана на комп'ютерах і обчисленнях. І всі вони вимагають серйозних обчислювальних потужностей, які задовольняються за рахунок нових технологій розподілу, розподілених баз даних і віртуалізації фізичних ресурсів.

З бурхливим розвитком Інтернету на передній план виходить Інтернет-маркетинг разом з його комунікаціями в соціальних мережах, електронними каналами продажів і аналітикою взаємини з клієнтами. Уже жоден продавець не обходиться без он-лайн продажів своїх продуктів і послуг.

І нарешті, такий важливий тренд в технологіях, як переклад своєї ІТ-інфраструктури в "хмари" і доступ до неї з будь-якого мобільного пристрою привносить і гнучкість і свободу співробітникам компанії, дає можливість не бути прив'язаним до одного географічного місця і брати участь в процесах компанії в зручне для себе час. Крім того, "хмари" - це передача турбот про суто технічну складову своїх інструментів на обслуговування фахівцям-партнерам, і, таким чином, підвищення ефективності бізнес за рахунок концентрації управлінських зусиль на своїх конкурентних перевагах.

Як видно, інформаційні технології - це вже дуже велика область людської діяльності, важлива частина нашого життя. І внутрішній аудитор повинен розуміти, що як і будь-яка людська діяльність, вона сповнена ризиків і можливостей для розвитку. Але про це трохи пізніше.

Щоденні завдання керівника внутрішнього аудиту

Зробимо трохи відступ в бік загальної практики внутрішнього аудиту, і спробуємо повернутися до завдань, які зазвичай потрібно вирішувати керівнику внутрішнього аудиту у своїй щоденній роботі.

До основних завдань для керівника внутрішнього аудиту можна віднести наступні "головоломки":


  1. Внутрішньому аудитору необхідно визначити основні ризики, з якими стикається організація. Це ключове завдання для успішної роботи функції внутрішнього аудиту в компанії. І правильне визначення ризиків безпосередньо залежить від правильного розуміння бізнесу, внутрішніх процесів і технологій, особливостей функціонування об'єкта перевірки.
  1. Визначення типів і напрямків аудиторських перевірок, "всесвіту аудиту", тобто того, що потрібно перевіряти команді аудиторів, які саме перевірки дадуть відповіді про рівень ризиків і подальші кроки по їх усуненню. Перевіряти можна все, або брати великі важливі теми, або дробити їх до нескінченності, заглиблюючись у деталі. Як оптимально визначити перевіряється область для кожної перевірки в плані аудиту на період?
  1. Як розставити пріоритети у "всесвіту аудиту"? Відповідь на це питання вкрай важливий, оскільки є інша "головний біль" - достатня наявність кваліфікованих ресурсів для покриття всієї "всесвіту аудиту". Тобто, необхідно проводити пріоритезацію перевірок за рівнем ризику перевіряється області діяльності організації.
  1. І, нарешті, найважливіше, то, для чого працює внутрішній аудит, результат його роботи - це завдання розтину глибинних проблем організації, що заважають досягненню її цілей, і надання ефективного плану дій для вирішення цих проблем.

Ці загальні та основні завдання керівника внутрішнього аудиту практично один в один транслюються в завдання функції аудиту інформаційних технологій і управління нею - необхідно зрозуміти ІТ-ризики, визначити "всесвіт ІТ-аудиту", розставити в ній пріоритети, забезпечити необхідні ресурси і дати важливі рекомендації по усунення ризиків і поліпшення процесів.

Технологічні виклики внутрішнього аудиту

Крім стандартних завдань для керівника аудиту, приборкання технологічних ризиків кидає свої технологічні виклики. Все більша кількість ключових внутрішніх контролів покладається на ІТ, тому з'являються нові вимоги до профілю знань внутрішнього аудитора. Будь внутрішній аудитор вже не може ігнорувати технологічну складову контролю, і повинен мати хоча б принципове розуміння цієї складової, а краще - спеціальні знання в ІТ. Також важливо розуміти нові стратегічні ризики для бізнесу, які привносять інформаційні технології, і їх маса - це швидкість виведення нового продукту на ринок, точність, акуратність і своєчасність інформації для прийняття рішення, зручність і задоволеність клієнта в світі Інтернету і цифри, захист свого ноу хау, своїх секретів, клієнтської бази і навіть коштів на рахунках від крадіжки зловмисниками, дотримання законодавства та вимог регуляторів. Для покриття цих ризиків також важливе розуміння самих ІТ-контролів, при цьому необхідно мати на увазі як загальні ІТ-контролі (права доступу і поділ обов'язків, ведення проектів і контроль змін, операційні процеси в ІТ, і логічна безпеку систем і мереж), так і контролі прикладного програмного забезпечення, які прив'язані до бізнес-процесу і гарантують його роботу в заданих рамках і для заданих цілей.

Розуміння бізнесу - ключ до ефективного аудиту ІТ

І знову повернемося до початкового тези статті - бізнес та ІТ тісно взаємопов'язані, і бізнес є керівним елементом в цьому "інь-яне". Як же цей взаємозв'язок виявити керівник внутрішнього аудиту?

Починати треба зі стратегії бізнесу, з його цілей і планів розвитку. Розуміння бізнес-стратегії обумовлює визначення "всесвіту аудиту" і оцінку ризиків.

Розуміння бізнес-стратегії обумовлює визначення всесвіту аудиту і оцінку ризиків

Ми будемо розвивати роздріб, або займемося великими клієнтами, або головне завдання - оптимізація якогось ключового внутрішнього процесу, або необхідно покращувати клієнтський досвід?

Від розуміння цих завдань залежить, на що буде спрямована увага внутрішнього аудиту, в тому числі і аудиту інформаційних технологій. Адже стратегія реалізується за допомогою проектів, і саме ІТ-складова проекту є предметом для аудиту ІТ.

І, нарешті, будь-який проект перетворюється в операційну діяльність, в бізнес-процес. Цей процес буде обслуговуватися обчислювальними потужностями, тобто ІТ-інфраструктурою та ІТ-додатками, які також необхідно аналізувати і контролювати, при чому в прив'язці до бізнес-процесу.

Резюмуючи першу частину публікацій, можна сказати, що і інформаційні технології, і їх аудит є зараз серйозним викликом для внутрішнього аудитора, суттєвою складовою всього ландшафту ризиків організації, і вимагають адекватного та ефективного відповіді керівника функції для виконання своєї місії приносити користь своїй компанії і її власникам .

У подальших матеріалах цієї серії публікацій я постараюся розкрити глибше поняття інформаційних технологій, кроки по визначенню "всесвіту аудиту ІТ", можливість для керівника у вирішенні питання забезпечення "всесвіту" необхідними ресурсами, і важливість проведення інтегрованого аудиту бізнес-процесів.

Если ви нашли орфографічну помилки, повідомте нас про це, Вибравши цею текст и натіснувші Ctrl + Enter.

Ua//?
Як оптимально визначити перевіряється область для кожної перевірки в плані аудиту на період?
Як розставити пріоритети у "всесвіту аудиту"?
Як же цей взаємозв'язок виявити керівник внутрішнього аудиту?
Ми будемо розвивати роздріб, або займемося великими клієнтами, або головне завдання - оптимізація якогось ключового внутрішнього процесу, або необхідно покращувати клієнтський досвід?