При общении с руководством различных компаний на вопрос: "Проводится ли у Вас регулярный аудит информационной безопасности?", получаешь ответ: "Конечно - ежегодный внешний аудит". И в большинстве случаев выясняется, что это были процедуры в рамках аудита финансовой отчетности. При этом руководство компании уверено, что проведенных процедур достаточно, чтобы получить картину о текущем состоянии ИТ и информационной безопасности. Так ли это на самом деле? И вообще, зачем аудиторам смотреть на информационную безопасность и ИТ в рамках финансового аудита?!? Обратим свой взор на требования международных стандартов аудита (ISA). В частности, стандарт ISA 315 «Изучение предприятия и его окружающей среды и оценка рисков существенного искажения финансовой отчетности» говорит:
41. Аудитор должен изучить внутренние контроли предприятия, которые относятся к аудиту. (…)43. Внутренние контроли согласно данному стандарту состоят из следующих компонентов:
(a) Контрольная среда.
(b) Процесс оценки рисков предприятия.
(c) Информационные системы и коммуникации, включая сопутствующие бизнес-процессы, относящиеся к финансовой отчетности.
(d) Контрольные процедуры.
(e) Мониторинг контролей.
Получается, что ИТ и безопасность к финансовому аудиту отношение имеет. Но достаточно ли тех процедур, которые выполняют аудиторы?
Во-первых, охват процедур. Рассматриваются только те системы, которые имеют отношение к финансовой отчетности, да и то не все, а те в которых аудиторы собираются полагаться на контроли в системе либо на данные из системы, да и то не все. Почему? Долго описывать. Если в двух словах – аудиторская методология позволяет провести процедуры разными способами. В некоторых случаях быстрее закрыть риски альтернативными процедурами, чем тестировать ИТ-контроли.
Во-вторых, полнота процедур. Оцениваются только те риски, которые могут привести к существенному искажению финансовой отчетности. Соответственно, многие информационные риски остаются «за кадром».
Таким образом, рекомендации по ИТ и информационной безопасности, которые получает руководство компании, является побочным продуктом аудиторских процедур. Безусловно полезно получить за те же деньги два продукта (подтверждение финансовой отчетности и рекомендации по улучшению ИТ и информационной безопасности), но полноценного тестирования эффективности работы информационной безопасности такой продукт не заменит.
Во-первых, охват процедур. Рассматриваются только те системы, которые имеют отношение к финансовой отчетности, да и то не все, а те в которых аудиторы собираются полагаться на контроли в системе либо на данные из системы, да и то не все. Почему? Долго описывать. Если в двух словах – аудиторская методология позволяет провести процедуры разными способами. В некоторых случаях быстрее закрыть риски альтернативными процедурами, чем тестировать ИТ-контроли.
Во-вторых, полнота процедур. Оцениваются только те риски, которые могут привести к существенному искажению финансовой отчетности. Соответственно, многие информационные риски остаются «за кадром».
Таким образом, рекомендации по ИТ и информационной безопасности, которые получает руководство компании, является побочным продуктом аудиторских процедур. Безусловно полезно получить за те же деньги два продукта (подтверждение финансовой отчетности и рекомендации по улучшению ИТ и информационной безопасности), но полноценного тестирования эффективности работы информационной безопасности такой продукт не заменит.
Для корректности неплохо было бы процитировать также ISA 400, ISA 401, IAPS 1001, IAPS 1002, IAPS 1003... (не претендую на полноту).
ОтветитьУдалитьНе Бог весть что, но даже они не исполняются:
Был один опыт общения с директором аудиторской компании, которая аудировала Банк по требованиям МСФО и им надо был субконтрактор на ИТ аудит. Могу сказать, что даже не преследуется цель этот пункт сделать качественно: «главное быстро и что-бы клиент был доволен». Я пытался обьяснить, но остался не понятым, а когда услышал цифру бюджета «300 баксов», то я сказал, что за такой короткий отрезок времени, управится не смогу :-)
ISA 400 и ISA 401 были заменены ISA 315. Боле того, сам ISA 315 уже существенно пересматривался.
ОтветитьУдалитьIAPS 1001, IAPS 1002, IAPS 1003 отменены в 2007 году.
Так что выполнятся они не должны.
Кроме того, аудиторы могут вообще не оценивать ИТ-среду, точнее сделать высокоуровневую оценку на основании часовой беседы, прийти к выводу "удивительное безобразие" и в дальнейшем не полагаться на ИТ контроли. Стандарты это позволяют. Основная цель аудита - подтвердить финансовую отчетность. И сделать это можно разными путями.