Інститут Внутрішніх Аудиторів України

Світове лідерство у професії внутрішнього аудиту та корпоративного управління

Введение в информационные технологии для аудитора

Facebookgoogle_pluslinkedinmailFacebookgoogle_pluslinkedinmailby feather

 

DSC_1074_1

 

Максим Померко, CISA, Член Правления Института внутренних аудиторов Украины

В первой моей статье по тематике ИТ-аудита “Информационные технологии – новые вызовы и реалии для руководителя внутреннего аудита” (http://www.www.iia.org.ua//?page_id=641) было отмечено, что современные информационные технологии бросают массу вызовов для руководителя внутреннего аудита. При этом следует иметь в виду, что внутренними аудиторами становятся, в основном, люди с гуманитарными знаниями, а не техническими, и понимание предмета аудита для таких специалистов является закрытой областью, ключик от которой не всякому внутреннему аудитору удается найти.

Поэтому есть необходимость помочь таким коллегам найти правильный подход к предмету, ясное понимание, что же такое ИТ, и, главное, как его проверять, как анализировать его риски для организации, для бизнеса, как давать правильные ответы и рекомендации руководству и акционерам.

В серии статей, посвященных аудиту ИТ, мне хотелось бы дать читателю ответы на следующие вопросы, о которых “болит голова” у руководителя внутреннего аудита:

  • Что такое аудит информационных технологий (ИТ)
  • Какие основные задачи у аудита ИТ и его руководителя
  • Какие особенности управления технологической функцией внутреннего аудита

Буду надеяться, что мне удастся приоткрыть завесу моим коллегам из финансово-операционного цеха, и этот материал пригодится им на новом и сложном пути освоения технологических аспектов и рисков в бизнесе.

Бизнес и Технологии – тесная связь

В нашем современном технологическом мире информационные технологии играют крайне важную роль в развитии бизнеса и достижении его целей. Возьмите мировых гигантов бизнеса, которые на слуху – Google, Apple, Vodafone, Barclays и HSBC, Mitsubishi Industries  и Toyota. Перечислять их нет смысла, и важная составляющая успеха этих компаний сейчас связанна с технологиями обработки информации, которые направлены на выполнение задач в достижении целей акционеров титанов своих отраслей.

Информационные технологии позволяют автоматизировать ручные процессы, освобождают квалифицированную рабочую силу от рутинного труда, значительно ускоряют все процедуры, в том числе делают эффективным процесс принятия решений, дают структурированную и важную информацию для успешного управления бизнесом. Значение ИТ в бизнесе переоценить сложно.

Так же важно влияние самого бизнеса на ИТ. Никогда нельзя забывать, что именно бизнес ставит задачи перед технологиями, а не наоборот. Акционеры ставят цели своему бизнесу, а инструментом достижения этих целей является технология – любая: производственная, управленческая, информационная. И вы знаете, что без инструмента выполнить задачу весьма сложно, и если возможно, то вряд ли быстро и эффективно. Информационные технологии, ИТ – вот сейчас самый важный инструмент в руке менеджера организации, и на сколько эффективно этот инструмент работает, настолько же эффективно поставленная цель организации будет достигнута.

Такая тесная связь может быть описана следующей формулой взаимоувязки бизнеса и ИТ:

“Бизнес направляет Информационные Технологии, Информационные Технологии дают возможность Бизнесу достичь своих целей”.

Рисунок 1 ниже наглядно это демонстрирует:

 Business-IT-alignment

Рис. 1 Взаимоувязка бизнеса и ИТ

 
 
 
 
 
 

Последние технологические тренды

Как инструмент бизнеса, ИТ значительно развились и усложнились за последние несколько десятилетий, и без ИТ-решений немыслим ни один серьезный бизнес-проект.  Взять например то, без чего не может жить ни одна организация – учет. Если компания не большая, она использует автоматизированную программу для ведения финансового учета , например QuickBooks или отечественный аналог – 1С. Серьезные крупные компании уже внедряют промышленные решения для своих задач учета. Это ERP-системы, такие например, как Navision, OracleeBusiness Suite, People Soft или SAP. В банках – это ключевые программные комплексы Операционного Дня Банка (ОДБ). И если раньше учет начинался с таблиц, регистров, журналов, расположенных на одном-двух компьютерах в бухгалтерии, то сейчас это обязательно мощный сервер, сетевой доступ и сложный функционал приложения для большого количества клиентов.

Дальше – больше. Крупный бизнес не может довольствоваться одним учетным сервером. Сейчас масса операционных задач автоматизирована и завязана на компьютерах и вычислениях. И все они требуют серьезных вычислительных мощностей, которые удовлетворяются за счет новых технологий распределения, распределенных баз данных и виртуализации физических ресурсов.

С бурным развитием Интернета на передний план выходит Интернет-маркетинг вместе с его коммуникациями в социальных сетях, электронными каналами продаж и аналитикой взаимоотношения с клиентами.  Уже ни один торговец не обходится без он-лайн продаж своих продуктов и услуг.

IT-clouds

И наконец, такой важный тренд в технологиях, как перевод своей ИТ-инфраструктуры в “облака” и доступ к ней с любого мобильного устройства привносит и гибкость и свободу сотрудникам компании, дает возможность не быть привязанным к одному географическому месту и участвовать в процессах компании в удобное для себя время.  Кроме того, “облака” – это передача забот о сугубо технической составляющей своих инструментов на обслуживание специалистам-партнерам, и, таким образом, повышение эффективности бизнес за счет концентрации управленческих усилий на своих конкурентных преимуществах.

Как видно, информационные технологии – это уже очень большая область человеческой деятельности, важная часть нашей жизни.  И внутренний аудитор должен понимать, что как и любая человеческая деятельность, она полна рисков и возможностей для развития. Но об этом чуть позже.

Ежедневные задачи руководителя внутреннего аудита

challenges-ahead

Сделаем немного отступление в сторону общей практики внутреннего аудита, и попробуем вернуться к задачам, которые обычно нужно решать руководителю внутреннего аудита в своей ежедневной работе.

К основным задачам для руководителя внутреннего аудита можно отнести следующие “головоломки”:

 
 

  1. Внутреннему аудитору необходимо определить основные риски, с которыми сталкивается организация. Это ключевая задача для успешной работы функции внутреннего аудита в компании. И правильное определение рисков напрямую зависит от правильного понимания бизнеса, внутренних процессов и технологий, особенностей функционирования объекта проверки.
  1. Определение типов и направлений аудиторских проверок, “вселенной аудита”, т.е. того, что нужно проверять команде аудиторов, какие именно проверки дадут ответы об уровне рисков и дальнейших шагах по их устранению. Проверять можно все, или брать большие важные темы, или дробить их до бесконечности, углубляясь в детали. Как оптимально определить проверяемую область для каждой проверки в плане аудита на период?
  1. Как расставить приоритеты во “вселенной аудита”? Ответ на данный вопрос крайне важен, поскольку есть другая “головная боль” – достаточное наличие квалифицированных ресурсов для покрытия всей “вселенной аудита”. То есть, необходимо проводить приоритезацию  проверок по уровню риска проверяемой области деятельности организации.
  1. И, наконец, самое важное, то, для чего работает внутренний аудит, результат его работы – это задача вскрытия глубинных проблем организации, мешающих достижению ее целей, и предоставление эффективного плана действий для решения этих проблем.

Эти общие и основные задачи руководителя внутреннего аудита практически один в один транслируются в задачи функции аудита информационных технологий и управления ею – необходимо понять ИТ-риски, определить “вселенную ИТ-аудита”, расставить в ней приоритеты, обеспечить необходимые ресурсы и дать важные рекомендации по устранению рисков и улучшению процессов.

Технологические вызовы внутреннему аудиту

Кроме стандартных задач для руководителя аудита, укрощение технологических рисков бросает свои технологические вызовы. Все большее количество ключевых внутренних контролей полагается на ИТ, поэтому появляются новые требования к профилю знаний внутреннего аудитора. Любой внутренний аудитор уже не может игнорировать технологическую составляющую контроля, и должен иметь хотя бы принципиальное понимание этой составляющей, а лучше – специальные знания в ИТ. Также важно понимать новые стратегические риски для бизнеса, которые привносят информационные технологии, и их масса – это быстрота вывода нового продукта на рынок, точность, аккуратность и своевременность информации для принятия решения, удобство и удовлетворенность клиента в мире Интернета и цифры, защита своего ноу-хау, своих секретов, клиентской базы и даже денежных средств на счетах от кражи злоумышленниками, соблюдение законодательства и требований регуляторов. Для покрытия этих рисков также важно понимание самих ИТ-контролей, при этом необходимо иметь в виду как общие ИТ-контроли (права доступа и разделение обязанностей, ведение проектов и контроль изменений, операционные процессы в ИТ, и логическая безопасность систем и сетей), так и контроли прикладного программного обеспечения, которые привязаны к бизнес-процессу и гарантируют его работу в заданных рамках и для заданных целей.

Понимание бизнеса – ключ к эффективному аудиту ИТ

И опять вернемся к первоначальному тезису статьи – бизнес и ИТ тесно взаимосвязаны, и бизнес является руководящим элементом в этом “инь-яне”. Как же эту взаимосвязь выявить руководитель внутреннего аудита?

Начинать надо со стратегии бизнеса, с его целей и планов развития. Понимание бизнес-стратегии обуславливает определение “вселенной аудита” и оценку рисков.

business-strategy-projects-processes

Мы будем развивать розницу, или займемся крупными клиентами, или главная задача – оптимизация какого-то ключевого внутреннего процесса, или необходимо улучшать клиентский опыт?

От понимания этих задач зависит, на что будет направлено внимание внутреннего аудита, в том числе и аудита информационных технологий. Ведь стратегия реализуется с помощью проектов, и именно ИТ-составляющая проекта является предметом для аудита ИТ.

И, наконец, любой проект превращается в операционную деятельность, в бизнес-процесс. Этот процесс будет обслуживаться вычислительными мощностями, т.е. ИТ-инфраструктурой и ИТ-приложениями, которые также необходимо анализировать и контролировать, при чем в привязке к бизнес-процессу.

Резюмируя первую часть публикаций, можно сказать, что и информационные технологии, и их аудит являются сейчас серьезным вызовом для внутреннего аудитора, существенной составляющей всего ландшафта рисков организации, и требуют адекватного и эффективного ответа руководителя функции для выполнения своей миссии приносить пользу своей компании и ее собственникам.

В дальнейших материалах этой серии публикаций я постараюсь раскрыть глубже понятие информационных технологий, шаги по определению “вселенной аудита ИТ”,  возможность для руководителя в решении вопроса обеспечения “вселенной” необходимыми ресурсами, и важность проведения интегрированного аудита бизнес-процессов.

Поділитися

The Author

admin

ВГО "Інститут Внутрішніх Аудиторів України" © 2012-2016 Frontier Theme