Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

воскресенье, 11 апреля 2010 г.

Достаточно ли аудита ИТ и ИБ в рамках финансового аудита?

При общении с руководством различных компаний на вопрос: "Проводится ли у Вас регулярный аудит информационной безопасности?", получаешь ответ: "Конечно - ежегодный внешний аудит".  И в большинстве случаев выясняется, что это были процедуры в рамках аудита финансовой отчетности. При этом руководство компании уверено, что проведенных процедур достаточно, чтобы получить картину о текущем состоянии ИТ и информационной безопасности. Так ли это на самом деле? И вообще, зачем аудиторам смотреть на информационную безопасность и ИТ в рамках финансового аудита?!? Обратим свой взор на  требования международных стандартов аудита (ISA). В частности, стандарт ISA 315 «Изучение предприятия и его окружающей среды и оценка рисков существенного искажения финансовой отчетности» говорит:
41. Аудитор должен изучить внутренние контроли предприятия, которые относятся к аудиту. (…)
 43. Внутренние контроли согласно данному стандарту состоят из следующих компонентов:
(a) Контрольная среда.
(b)  Процесс оценки рисков предприятия.
(c)  Информационные системы и коммуникации, включая сопутствующие бизнес-процессы, относящиеся к финансовой отчетности.
(d) Контрольные процедуры.
(e)  Мониторинг контролей.

Получается, что ИТ и безопасность к финансовому аудиту отношение имеет. Но достаточно ли тех процедур, которые выполняют аудиторы?
Во-первых, охват процедур. Рассматриваются только те системы, которые имеют отношение к финансовой отчетности, да и то не все, а те в которых аудиторы собираются полагаться на контроли в системе либо на данные из системы, да и то не все. Почему? Долго описывать. Если в двух словах – аудиторская методология позволяет провести процедуры разными способами. В некоторых случаях быстрее закрыть риски альтернативными процедурами, чем тестировать ИТ-контроли.
Во-вторых, полнота процедур. Оцениваются только те риски, которые могут привести к существенному искажению финансовой отчетности. Соответственно, многие  информационные риски остаются «за кадром».
Таким образом, рекомендации по ИТ и информационной безопасности, которые получает руководство компании, является побочным продуктом аудиторских процедур. Безусловно полезно получить за те же деньги два продукта (подтверждение финансовой отчетности и рекомендации по улучшению ИТ и информационной безопасности), но полноценного тестирования эффективности работы информационной безопасности такой продукт не заменит.

2 комментария:

  1. Для корректности неплохо было бы процитировать также ISA 400, ISA 401, IAPS 1001, IAPS 1002, IAPS 1003... (не претендую на полноту).
    Не Бог весть что, но даже они не исполняются:
    Был один опыт общения с директором аудиторской компании, которая аудировала Банк по требованиям МСФО и им надо был субконтрактор на ИТ аудит. Могу сказать, что даже не преследуется цель этот пункт сделать качественно: «главное быстро и что-бы клиент был доволен». Я пытался обьяснить, но остался не понятым, а когда услышал цифру бюджета «300 баксов», то я сказал, что за такой короткий отрезок времени, управится не смогу :-)

    ОтветитьУдалить
  2. ISA 400 и ISA 401 были заменены ISA 315. Боле того, сам ISA 315 уже существенно пересматривался.
    IAPS 1001, IAPS 1002, IAPS 1003 отменены в 2007 году.
    Так что выполнятся они не должны.
    Кроме того, аудиторы могут вообще не оценивать ИТ-среду, точнее сделать высокоуровневую оценку на основании часовой беседы, прийти к выводу "удивительное безобразие" и в дальнейшем не полагаться на ИТ контроли. Стандарты это позволяют. Основная цель аудита - подтвердить финансовую отчетность. И сделать это можно разными путями.

    ОтветитьУдалить