Образовательный сайт Мушкатовой Марии Сергеевны
Консультации о поступлении
Заочное дистанционное образование с получением государственного диплома Московского государственного индустриального университета (МГИУ) через Internet

 

Реклама:

 

Реклама:



Рассылки Subscribe.Ru
Современное образование
Подписаться письмом

 

 

 

 

ИНФОРМАЦИОННЫЕ СИСТЕМЫ

Адекватная информация и ее эффективная передача играют важную роль в надлежащем функционировании системы внутрен­него контроля. Эффективная система внутреннего контроля тре­бует наличия адекватной и всеобъемлющей информации финан­сового, операционного характера и сведений о соблюдении уста­новленных нормативных требований, а также поступающей извне рыночной информации о событиях и условиях, имеющих отноше­ние к принятию решений. Информация должна быть надежной, своевременной, доступной, правильно и должным образом оформ­ленной.

Информация включает в себя внутренние финансовые и опе­рационные данные, данные о соблюдении установленных требо­ваний законодательства и нормативных актов, а также сведения, поступающие с внешнего рынка о событиях и условиях, имеющих отношение к принятию решений. Внутренняя информация явля­ется частью процесса учета, который должен опираться на установ­ленный порядок хранения учетных записей.

Информационные системы организации представляют собой совокупность каналов обмена информацией между сотрудниками и внешней средой и сгруппированы следующим образом:

1) информационные системы обмена с внешней средой — поч­та (в том числе переписка), телефонные линии, факсимильная связь, телетайп, сотовые системы связи, электронная почта, теле­коммуникации, курьерская связь и др.;

2) информационная система между сотрудниками, в том числе система информирования персонала (Интернет и др.); включает в себя систему передачи кадровой документации, проектов докумен­тов, накладных, счетов-фактур, распоряжений, почты и других документов внутри организации;

3) собственно компьютерные информационные системы (Ин­тернет и др.).

Информационные системы несут в себе ряд рисков:

   утрату информации (недоставление до адресата или уничтоже­ние информации, потеря данных);

    искажение информации;

    предоставление ложной информации (например, ложное сра­батывание пожарной сигнализации из-за сбоя в программе);

    финансовые и иные потери из-за взлома информационных систем (взлом компьютерных файлов, прослушивание теле­фонных каналов связи и др.);

    остановку в работе организации из-за сбоя информационной системы (например, не работает Интернет, невозможно от­правлять или получать информацию и т.д.). Неспособность руководства выделить достаточные ресурсы для

противостояния рискам безопасности, присущим информацион­ным системам, может оказать негативное воздействие на систему внутреннего контроля, которое может проявиться в том, что не­правильные изменения компьютерных программ или исходных данных не привлекут внимания руководства или может быть допу­щено осуществление не получивших одобрения хозяйственных операций.

«Цели контроля за информационными и связанными с ними технологиями», впервые опубликованные в 1996 г., были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационны­ми технологиями для поддержки бизнес-процессов, предложенную Ассоциацией аудита и контроля информационных систем (ISACA).

Составной частью информационных систем является система информирования персонала, которая обеспечивает понимание со­трудниками обязанностей и ответственности, связанных с органи­зацией и применением системы внутреннего контроля в отноше­нии финансовой (бухгалтерской) отчетности.

Система информирования обеспечивает понимание персоналом характера своего участия в процессе подготовки финансовой (бух­галтерской) отчетности, того, каким образом его действия в ин­формационной системе связаны с работой других сотрудников, а также способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях. От­крытые каналы связи должны способствовать тому, чтобы в ис­ключительных ситуациях принимались соответствующие меры.

Система информирования персонала может принимать такие формы, как внутренние регламенты деятельности, руководства по составлению финансовой (бухгалтерской) отчетности, инструкции и указания. Доведение информации до сведения сотрудников мо­жет осуществляться с использованием средств электронной связи, устно и посредством распоряжений руководства.

Например, некоторые банки потерпели убытки потому, что ин­формация, используемая в рамках организации, была ненадежной или неполной, или потому, что была плохо налажена система свя­зи. Сотрудники банка могли предоставлять неправильную финан­совую информацию; для оценки финансового положения могли использоваться недостоверные данные из внешних источников, а незначительные по объемам виды деятельности, но с высокой долей риска могли не отражаться в отчетах для руководства. В не­которых случаях банки не смогли адекватно довести до сотрудни­ков информацию, касающуюся их обязанностей и функций в обла­сти контроля, или передавали информацию по таким каналам, как, например, электронная почта, которые не могли обеспечить озна­комление с информацией, ее понимание и реализацию на практи­ке. В результате в течение долгого времени основные документы о политике банка в соответствующих областях, разработанные руко­водителями высшего звена, не реализовывались. В других случаях отсутствовали адекватные каналы передачи информации о подоз­рительном поведении некоторых сотрудников. Если бы были созданы сквозные каналы для передачи информации наверх, руко­водство смогло бы выявлять и исправлять злоупотребления гораз­до более оперативно.

Организационная структура банка должна обеспечивать адек­ватный поток информации — вверх, вниз и по горизонтали. При этом информация, поступающая снизу вверх, должна обеспечивать совет директоров и менеджмент необходимыми сведениями о при­нятых в ходе деятельности рисках и о текущем состоянии банка. Информация, которая направляется вниз, должна обеспечивать доведение целей банка, его стратегии, установленных порядков и процедур до руководства среднего и низшего звена и рядовых со­трудников. Такая структура передачи информации необходима для того, чтобы добиться слаженной работы всех сотрудников банка, направленной на выполнение его целей и задач. Наконец, переда­ча информации по горизонтали необходима, чтобы информация, которой владеет одно подразделение банка, была доступна другим его заинтересованным подразделениям.

Большинство аудируемых лиц использует компьютеризирован­ные информационные системы для составления финансовой (бух­галтерской) отчетности и отчетов для управленческих целей. Од­нако даже при широком применении информационных технологий в системах внутреннего контроля будут существовать элементы, реализуемые вручную. Соотношение между автоматизированными элементами и реализуемыми вручную бывает различным.

Электронные информационные системы и использование ин­формационных технологий связи сопряжены с рисками, которые должны эффективно контролироваться, чтобы избегать потенци­альных убытков и сбоев в ходе практической деятельности. По­скольку обработка транзакций и бизнес-приложений вышла за пределы применения мощных централизованных (главных) ком­пьютеров, доступ к которым осуществлялся через присоединение рабочих станций, и перешла к распределенным системам, осущест­вляющим программное обеспечение ключевых банковских опера­ций, возрос и масштаб рисков. Средства контроля за автоматизи­рованными информационными системами и техническими сред­ствами должны предусматривать общий и программный контроль.

Общий контроль — это контроль за компьютерными системами (например, за главным компьютером, системой «клиент/сервер» и рабочими местами конечных пользователей), проводимый с целью обеспечения их бесперебойной и непрерывной работы. Общие виды контроля включают внутренние резервные процедуры и про­цедуры восстановления функций, правила разработки и приобре­тения программ, процедуры сопровождения (изменения контроля) и контроль за безопасностью физического/логического доступа.

Контроль за программным обеспечением представляет собой ком­пьютерные шаги в программных приложениях и другие ручные процедуры, контролирующие обработку операций и другие виды банковской деятельности. Например, контроль за программным обеспечением включает контроль результатов редактирования (контрольное редактирование) и конкретные виды контроля логи­ческого доступа, уникальные для каждой системы банковской дея­тельности. Без проведения адекватного контроля информацион­ных систем и технических средств, включая системы, находящие­ся в стадии разработки, банки будут сталкиваться с потерей данных и программ, возникающей из-за неадекватных мер обеспечения физической и электронной безопасности, неполадок оборудования или системных сбоев, а также из-за неадекватных внутренних ре­зервных процедур и процедур восстановления функций.

Программное обеспечение потенциально несет риски, связан­ные с полным прекращением или продолжительным перерывом в предоставлении услуг в результате действия факторов, находящих­ся вне сферы контроля организации. Например, сбой компьютер­ного обеспечения диспетчерской службы аэропорта приводит к невозможности приема самолета. В крайних случаях, поскольку оказание услуг юридическим и физическим лицам является клю­чевым вопросом для деятельности, стратегии и репутации органи­зации, такие проблемы могут вызвать серьезные трудности и даже поставить под сомнение способность организации осуществлять основные виды операций. Такая ситуация требует, чтобы органи­зация разработала планы действий на случай непредвиденных об­стоятельств с использованием дублирующих устройств, находя­щихся вне организации, включая восстановление критических для деятельности организации систем, поддерживаемых внешним про­вайдером услуг. Угроза убытков или масштабного прекращения основных операций требует институциональных усилий по плани­рованию непредвиденных ситуаций, включая восстановление управления всей организацией, а не только центральной компью­терной системой. Программа восстановления операций должна периодически тестироваться на предмет ее выполнимости в случа­ях возникновения непредвиденных обстоятельств.

Проверяющий финансовую отчетность контролер должен по­нимать работу информационных систем организации, имеющих отношение к подготовке и составлению финансовой (бухгалтер­ской) отчетности, чтобы сделать вывод об их соответствии услови­ям деятельности организации. Контролер должен представлять:

а) как протекают хозяйственные операции в рамках различных действий организации, направленных на развитие, приобретение, производство, реализацию его товаров, работ, услуг;

б)  как обеспечивается соответствие осуществляемой деятель­ности нормативным правовым актам;

в)  как осуществляется регистрация информации, включая ве­дение бухгалтерского учета и составление финансовой (бухгалтер­ской) отчетности.

Контролер должен понимать, каким образом в организации до­водится до сведения сотрудников информация о функциях, обя­занностях и ответственности конкретных сотрудников, а также о существенных вопросах, касающихся финансовой (бухгалтерской) отчетности.



{SHOW_TEXT}

МОДЕЛЬ ВНУТРЕННЕГО КОНТРОЛЯ, ОРИЕНТИРОВАННАЯ НА ОЦЕНКУ РИСКОВ ОГРАНИЧЕНИЕ ЭФФЕКТИВНОСТИ СИСТЕМЫ КОНТРОЛЯ СРЕДА КОНТРОЛЯ РИСКИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ КОНТРОЛЬНЫЕ ПРОЦЕДУРЫ (СРЕДСТВА КОНТРОЛЯ) МОНИТОРИНГ СУЩНОСТЬ РЕВИЗИИ ЗАДАЧИ РЕВИЗИИ НАПРАВЛЕНИЯ РЕВИЗИОННОЙ ПРОВЕРКИ ОСНОВАНИЯ И ПЕРИОДИЧНОСТЬ ПРОВЕДЕНИЯ РЕВИЗИИ