В данной работе рассматриваются в основном первая и последняя из этих категорий. Кушинг и Ромни (Cushing and Romney, 1994, p. 698) утверждают, что аудит соответствия "имеет меньшее значение", чем другие категории. В данной работе высказывается предположение, что хотя в прошлом это, возможно, и было так, но по мере распространения межорганизационных систем (МОС) и электронного обмена данными (ЭОД) роль аудита соответствия, скорее всего, будет возрастать и приобретать существенное значение в рамках самой области аудита ИБ. Трудности управления и контроля в "недоверенной сети" (IEEE Computer Society, 1994), такой как Интернет, когда она и ей подобные становятся средствами обмена данными и участия в коммерческой деятельности, несомненно, повысят роль аудита соответствия. Цель данной статьи - выявить разрыв между традициями и будущим аудита в таких условиях.
Стандарты профессиональной практики внутреннего аудита Института внутренних аудиторов гласят (Cushing and Romney, 1994, p 695): "сфера применения внутреннего аудита включает изучение и оценку адекватности и эффективности системы внутреннего контроля организации и качества выполнения возложенных на нее обязанностей". Пять специальных стандартов посвящены области применения аудита:
1. Надежность и целостность информации.
2. Соответствие политикам, планам, процедурам, законам и нормативным актам.
3. Сохранность активов.
4. Экономичное и эффективное использование ресурсов.
5. Достижение установленных целей и задач для операций или программ.
Отметим, что второй стандарт требует соблюдения. Кушинг и Ромни (Cushing and Romney, 1994, p. 696) утверждают, что "обеспечение соответствия подобным вопросам требует глубокого анализа самого средства обработки информации".
Важно отметить, что термин "внутренний аудит", а также использование слов "система" и "внутренний контроль" предполагают наличие четко ограниченной, доступной и относительно статичной организации. Подобные характеристики, как правило, в меньшей степени относятся к современным организационным формам и появляющимся технологиям. Для проведения такого анализа Американский институт сертифицированных общественных бухгалтеров (Cushing and Romney, p. 704) предлагает четырехступенчатую схему:
Рассмотрим возможные типы ошибок и нарушений.
Определить процедуры бухгалтерского контроля, которые должны предотвратить или обнаружить такие случаи
ошибки и нарушения.
Определить, предписаны ли необходимые процедуры и выполняются ли они.
удовлетворительно.
Оценить все слабые места, т.е. типы потенциальных ошибок и нарушений, которые не
охваченных существующими процедурами контроля - для определения их влияния на а) характер, сроки и объем аудиторских процедур, которые необходимо применить, и б) предложения, которые необходимо сделать клиенту.
Это соответствует принятой практике "риск-ориентированного" аудита, требующего "анализа систем", "тестирования средств контроля", "оценки слабых мест в системе контроля и компенсации средств контроля". И в этом случае предполагается доступность и постоянство системы. Здесь нет необходимости подробно рассматривать различные инструменты, доступные для проведения такого анализа. В любом компетентном учебнике по аудиту ЭПР (например, Harnois, 1991) приводится перечень методов сбора и оценки доказательств, аналогичных методам поиска и анализа фактов в вычислительной технике. Однако следует отметить, что некоторые методики аудита применяются в последнее время и имеют отношение к рассматриваемым в данной работе изменениям.
Традиционный подход к системному аудиту часто напоминает археологию. Аудитор, изучая существующие или прошлые транзакции, пытается выявить и аутентифицировать "остатки" записи данных и построить на их основе проверяемую модель событий в исследуемой системе. Очевидно, что такой подход допускает принципиальную слабость современного аудита - проверку после события. Мошенник или ошибочная программа могут быть обнаружены только тогда, когда уже слишком поздно, если вообще обнаружены.
