Управление рисками в области информационных систем

Ведение хозяйственной деятельности экономическими субъектами непосредственно связано с применением информационных технологий. Использование автоматизированных данных в процессе ведения бухгалтерского учета значительно повышает качество аудиторской проверки.

Актуальность вопроса аудита информационных систем, а также методов управления рисками ИТ обусловлена существенным влиянием ИС на полноту и достоверность данных бухгалтерского учёта и финансовой отчётности.

С ростом объемов возникла необходимость перехода на наиболее развитые и многозадачные программы ведения бухгалтерского учета. Многие крупные организации используют программу SAP для данных целей. К примеру, крупные компании используют инструменты SAP BI и SAP BW с целью количественной оценки рисков и своевременного принятия мер реагирования на реализацию риск-индикаторов.

А также в качестве системы, реализующей функции интегрированного внутреннего контроля выступает SAP ERP.

Система SAP ERP (SAP R/3) (SAP ECC 6/0 EHP7) – это многокомпонентная система, объединяющая хозяйственные процессы компании. Все компоненты системы взаимосвязаны и поддерживают логический цикл финансово-хозяйственной деятельности.

Система SAP ERP направлена на достижение оптимальности бизнес-процессов и их автоматизацию. Система может быть обновлена сообразно законодательным изменениям в части бухгалтерского и налогового учета, а также доработана согласно потребностям ее пользователей.

Система SAP ERP состоит из отдельных модулей, которые интегрированы между собой, что позволяет использовать как отдельные компоненты системы, так и их различные комбинации.

Для целей управления рисками крупные операторы связи используют следующие программные продукты:

– SAP ERP;

– SAP Business Warehouse (далее также – SAP BW);

– Система Электронного Документооборота и Архива (далее также – ЭДА);

– Хранилище Бухгалтерской Документации и Договоров системы Электронного Документооборота и Архива, интегрированное с SAP ERP (далее также – ХБиД(SAP)).

Вышеуказанные системы являются в свою очередь и информационными систе- мами, реализующими функции внутреннего аудита.

В части контролей используемая архитектура решения SAP ERP позволяет:

– обеспечить сквозную интеграцию системы налогового учета с первичными документами, тем самым достигается высокая прозрачность отчетности для целей аудита.

– гибко изменять и наращивать число показателей, характеризующих хозяйственные операции для целей налоговой отчетности.

– в минимальной степени затрагивать настройки основного фискального учета, такие как план счетов и различная аналитика.

– отдельно от основной системы учета формировать и хранить показатели начального сальдо для некоторых расчетных процедур.

Основные особенности и преимущества SAP BW для целей внутреннего контроля:

– полное удовлетворение сотрудников всех структурных подразделений и уровней в достоверной информации о деятельности Общества;

– интеграция с SAP ERP и его компонентами;

– оперативность предоставления информации;

– широкие возможности для разграничения доступа к информации сотрудников Организации в зависимости от их полномочий;

– наличие типовых форм отчетности и готовых структур данных.

Система ЭДА представляет собой систему электронного документооборота и архива, предназначенную для автоматизации процессов сканирования, распознавания, верификации, хранения, поиска, согласования и аудита электронных документов, а также повышения эффективности использования, поиска и представления необходимой информации.

ЭДА используется при утверждении документов и обеспечивает визирование документов, подлежащих визированию, и подписание документов, подлежащих подписанию, как относящихся к внутренней деятельности компании, так и регулирующих взаимоотношения с третьими лицами.

Как правило, в компаниях установлена Политика визирования и подписания документов, которой установлены визирующие и подписанты, визы и подписи которых требуются на документе в зависимости от суммы и типа документа, и закрепляет единые принципы, которые должны соблюдаться при визировании и подписании документов.

Рассмотрим процесс выявления ошибок в работе информационных систем, исправления ошибок, маршрутизации ошибок, совершенствования работы информационных систем (рис. 1).

Пользователи

информационных систем в соответствующем функциональном подразделении выявляют ошибки, приводящие к рискам искажения показателей бухгалтерской (финансовой), налоговой и иной отчетности, эскалируют информацию об ошибках на уровень руководителей структурных подразделений

Руководители структурных подразделений совместно с бухгалтерией принимают решение об исправлении ошибок посредством создания соответствующей заявки в отдел ИТ,либо фиксируют ошибки для целей принятия решения о необходимости доработки информационной системы

Рис. 1. Процесс выявления ошибок в работе информационных систем

Сотрудники обособленного подразделения принимают в работу заявки и информируют лиц, создавших заявки, об отработке заявок

Управление рисками в области информационных систем

Процесс управления рисками в области ИТ и ИБ осуществляется в соответствии с утвержденной в крупных компаниях Политикой управления рисками на предприятии.

Как правило, вышеуказанная политика определяет следующие этапы управления рисками в Компании:

– идентификация рисков;

– оценка рисков;

– управление рисками;

– контрольные действия;

– информация и коммуникация.

Для контроля рисков рекомендуется идентифицировать их согласно с утвержденными в компании документами регламентирующими порядок управления и оценки рисков. А также рекомендуется проводить процедуру идентификации на регулярной основе, не реже одного раза в год.

В процессе идентификации рисков в области ИТ и ИБ могут использоваться:

– матрица рисков CobIT;

– отчеты об инцидентах и проблемах ИТ и ИБ.

Основными шагами на данном этапе являются определение:

– рисков или угроз для достижения поставленных перед ИТ подразделением Компании целей и задач;

– причин возникновения рисков в областях ИТ и ИБ;

– возможных последствий от реализации рисков в области ИТ и ИБ.

Создание и реализация продуктивной управления и контроля ИТ-системы позволяет решать как внутренние проблемы организации, так и предоставляет возможность повысить ее привлекательность на внешнем рынке. Достижение данной задачи возможно благодаря внедрению стандартов CobiT и ITIL, которые формализуют конкретные проекты в сфере ИТ, а также создают основу управления и контроля ИТ, направленную на эффективность производственных процессов организации.

На рисунке 2 отражен поэтапный процесс внедрения стандартов COBIT в деятельность организации.

• •    Определение бизнес-целей - обеспечение стабильной работы информационной системы с заданными показателями безопасности и эффективности

• •    Выбор ИТ–процессов и механизмов управления с использованием высокоуровневых и детальных задач управления

• •    Согласование программы внедрения с бизнес планом

Оценка существующих процедур и результатов внедрения механизмов

Оценка текущего статуса организации, идентификация критичных действий, ведущих к успеху, и измерение производительности в достижении целей организации

Рис. 2. Процесс внедрения стандартов COBIT в деятельность организации

Концепция матрицы основана на рассмотрении рисков информационной безопасности в системе рисков основной деятельности, в матрице заложены различные пути к осуществлению функции управления рисками ИБ и к процессу анализа и управления рисками.

Рис. 3. Структура CobIT5 for Risk

Основным элементом анализа и управ- время на интерпретацию результатов про- ления рисками в процессе применения данной методологии выступают рисковые сценарии.

Под сценарием понимается «описание события, которое в случае возникновения, может привести к неопределенному воздействию на достижение целей организации». В методологии содержится множество рисковых сценариев, которые относятся к различным категориям воздействия (напр., инвестиции в ИТ, инновации, навыки персонала, ПО, соответствие нормативным требованиям и пр.).

Достоинства данного подхода состоят в следующем:

– благодаря тому, что в матрице заложены рисковые сценарии и контроли ИТ-системы требования к компетенции и уровню знаний исполнителей мероприятий по управлению рисками значительно упрощаются;

– с применением данной методологии ведения аудита.

Выводы. Вопрос управления рисками ИТ неразрывно связан с предоставлением достоверной информации о ведении бухгалтерского учета на предприятии. В РФ отсутствуют какие-либо специальные методологические рекомендаций по проверке информационных систем, в то время как в международной практике для анализа ИС аудиторы используют рекомендации стандартов, таких, как CobiT, COSO, ITIL, CMMI и пр.

В зависимости от уровня использования ИС, их влияние на деятельность предприятия может быть измерено различными показателями и соответствующими им рисками операционной деятельности, например: снижение эффективности работы предприятия вследствие неверного выбора ИС; искажение и потеря данных о фактическом положении экономического субъекта в отрасли.

значительно снижаются трудозатраты и