Конспект лекцій для студентів спеціальності 7 030509 "Облік і аудит" денної і заочної форм навчання Луцьк 2016



Сторінка4/5
Дата конвертації29.12.2016
Розмір1.03 Mb.
ТипКонспект
1   2   3   4   5
Тема 6

ЕКСПЕРТНІ СИСТЕМИ В УПРАВЛІНСЬКИХ ІНФОРМАЦІЙНИХ СИСТЕМАХ
1. Характеристика експертних систем

2. Структура експертної системи

3. Переваги та недоліки експертних систем
1. Характеристика експертних систем

Експертна система — це комп'ютерна система, яка втілює в собі досвід експерта, що ґрунтується на його знаннях в певній галузі. Експертна система (EC) на основі обробки цих знань може давати інтелектуальні поради, приймати рішення на рівні експерта-професіонала, а також за бажанням користувача пояснювати хід розв'язування в разі відшукання того чи іншого рішення.



Якщо при традиційному процедурному програмуванні комп'ютеру необхідно повідомити що і як він повинен робити, то спільним для експертних систем є те, що вони мають справу зі складними проблемами:

  • які недостатньо добре зрозумілі або вивчені;

  • для яких немає чітко заданих алгоритмічних рішень;

  • які можуть бути досліджені за допомогою механізму символічних міркувань.

Специфіка ЕС полягає в тому, що вони використають:

  • механізм автоматичного міркування (висновку);

  •  «слабкі методи», такі як пошук або евристики.

Основними вимогами до ЕС є:

  1. використання знань пов'язаних з конкретною предметною галуззю;

  2. отримання знань від експерта;

  3. визначення реального й досить складного завдання;

  4. наділення системи здатностями експерта.

Експерти - це кваліфіковані фахівці у своїх областях діяльності – фінансисти, економісти, лікарі, адвокати та інші, які мають загальні якості:

  • мають величезний багаж знань про конкретну предметну область;

  • мають великий досвід роботи в цій області;

  • уміють точно сформулювати й правильно вирішити завдання.

ЕС покликані замінити фахівців у конкретній предметній області, тобто дозволити вирішити завдання без експерта.

Для успішного виконання функцій, покладених на ЕС, необхідні:

  • механізм представлення знань про конкретну предметну область і управління ними (БД і БЗ);

  • механізм, що на підставі наявних знань у БЗ здатний робити висновки;

  • інтерфейс для одержання й модифікації знань експерта, а також для правильної передачі відповідей користувачеві (користувацький інтерфейс);

  • механізм одержання знань від експерта, підтримки БЗ і при необхідності її доповнення (модуль придбання знань);

  • механізм, що не тільки здатний робити висновки, але й надавати різні коментарі до цього висновку й пояснювати його мотиви (модуль порад і роз'яснень).

Основні характеристики експертної системи такі:

  1. Експертна система, як правило, обмежена певною предметною областю.

  2. EC має вміти приймати рішення за неповних чи неточних даних.

  3. EC має вміти пояснювати свої дії при розв'язуванні задачі.

  4. Система повинна мати властивість розширення та нарощування функцій.

  5. EC має вміти імітувати діяльність висококваліфікованого спеціаліста (експерта).

  6. EC при розв'язуванні задач використовує, як правило, не точні алгоритми, а так звані евристики, тобто методи, які спираються на досвід та знання експерта.

Основні сфери застосування EC:

Діагностика — визначення стану EC. Найвідомішими є медичні діагностичні системи, які використовуються для встановлення зв'язку між фактами порушення діяльності організму та можливими причинами виникнення порушень.

Інтерпретація — визначення сутності даних, що спостерігаються. Інтерпретувальні системи можуть робити певні висновки на підставі результатів спостереження.

Прогнозування — визначення наслідків ситуації. Прогнозуючі системи передбачають можливі результати або події на підставі даних про поточний стан об'єкта.

Планування — визначення програми дій відповідно до певного критерію. Планувальні системи призначені для досягнення конкретних цілей при розв'язуванні задач з великим числом змінних.

Контроль й управління — моніторинг і контролінг розвитку ситуації. Інтелектуальні системи можуть приймати рішення, аналізуючи дані, що надходять з кількох джерел. Такі системи застосовують в управлінні фінансовою діяльністю підприємства, сприяють прийняттю рішень у кризових ситуаціях.

Навчання — здобуття певних знань й оцінювання результатів. EC можуть входити як складова частина до комп'ютерних систем навчання. EC одержує інформацію про діяльність особи, яка навчається, й оцінює дані, аналізуючи її поведінку.

 Експертні системи широко застосовуються в банківській справі в таких напрямках:



  • програмах аналізу інвестиційних проектів

  • програмах аналізу стану валютного, грошового та фондового ринку

  • програмах аналізу кредитоспроможності чи фінансового стану підприємств і банків.


2. Структура експертної системи

Експертна система складається з таких основних блоків:



1. База знань — це сукупність відомостей про предметну область, для якої розробляється експертна система.

Для функціонування системи база знань має бути наповнена знаннями. Для цього запрошують висококваліфікованих спеціалістів у тій галузі, для якої розробляється система, вони відіграють роль експертів, завдання яких — описати всі відомі знання для функціонування EC. У базі знань мають бути наявні знання першого та другого роду. Знання першого роду — це загальновідомі факти, явища, закономірності, які визнані в даній предметній області й опубліковані. Знання другого роду — це набір емпіричних правил та інтуїтивних висновків, якими користуються спеціалісти, приймаючи рішення в умовах невизначеності за наявності неповної суперечливої інформації. Відомості про ці знання, як правило, не опубліковані.

У базі знань EC переважно містяться знання першого роду, але мають бути й знання другого роду. Якщо ці знання відсутні, то це означає поганий вибір експертів (вони не вміють формулювати свої знання чи навпаки: не хочуть цього робити, щоб зберегти за собою статус унікальних спеціалістів).

2. Інженер з питань знань має такі обов'язки: знання, що їх подали експерти, він структурує і записує в базу знань з урахуванням правил побудови моделі знань, проектованої EC.

3. Блок спілкування з користувачем або інтерфейс користувача— це реалізація спілкування природною мовою користувача.

4. Блок рішень, необхідний для пошуку та побудови логічних висновків, які видає користувачеві EC. Дії цього блока подібні до міркувань людини-експерта, яка оцінює проблему і пропонує її вирішення. Цей блок виконує функції управління процесом пошуку розв'язків, тобто він визначає спосіб і послідовність використання різних правил та процедур. Середня EC містить до 500 правил, а для великої EC їх кількість може перевищувати й 1000.

5. Блок пояснень слугує для видачі за запитом користувача послідовності логічних висновків та міркувань, якими оперувала система у процесі пошуку рішення. Відповідальність за прийняте рішення несе особисто користувач.

6. Блок нагромадження знань - це блок, який дає змогу експерту завантажувати базу знань, а також виконувати редагування знань, які зібрані в базі (актуалізація, коригування та розширення знань EC через процес навчання EC).

Однією з основних проблем, характерних для ЕС, є проблема подання знань. Це пояснюється тим, що форма подання знань впливає на характеристики й властивості системи. Подання знань зображене на рис.1.


3. Переваги та недоліки експертних систем

Переваги експертних систем:

  • сталість: знання експертної системи зберігаються протягом невизначено довгого часу і нікуди не зникають, у той час як людська компетенція слабшає із часом, перерва у діяльності людини-експерта може серйозно відбитися на її професійних якостях, крім того експерти-люди можуть піти на пенсію, звільнитися з роботи або вмерти, тобто їхні знання можуть бути втрачені;

  • легкість передачі або відтворення: передача знань від однієї людини до іншої – довгий і дорогий процес, передача штучної інформації – це простий процес копіювання програми або файлу даних;


Рис. 1. Форма подання знань




  • підвищена доступність: експертна система – засіб масового виробництва експертних знань, що дозволяє багатьом користувачам одержати доступ до експертних знань;

  • можливість одержання й об’єднання експертних знань з багатьох джерел: за допомогою експертних систем можуть бути зібрані знання багатьох експертів і притягнуті до роботи над задачею, виконуваної одночасно і безупинно у будь-яку годину дня і ночі; рівень експертних знань, скомбінованих шляхом об’єднання знань декількох експертів, може перевищувати рівень знань окремо узятого експерта-людини;

  • стійкість і відтворюваність результатів: експерт-людина може приймати в тотожних ситуаціях різні рішення через емоційні фактори або утому, у той час, як результати експертних систем стабільні і являють собою незмінно правильні, позбавлені емоцій і повні відповіді за будь-яких обставин;

  • низька вартість: експерти, особливо висококваліфіковані, обходяться дуже дорого, у той час, як експертні системи, навпаки, є порівняно недорогими – їхня розробка є дорогою, але вони є дешевими в експлуатації: вартість надання експертних знань у розрахунку на окремого користувача істотно знижується;

  • зменшена небезпека: експертні системи можуть використовуватися в таких варіантах середовища, що можуть виявитися небезпечними для людини;

  • швидкий відгук: експертна система може реагувати швидше і бути більш готовою до роботи, ніж експерт-людина, особливо в деяких екстремальних ситуаціях, де може знадобитися більш швидка реакція, ніж у людини;

  • підвищена надійність: застосування експертних систем дозволяє підвищити ступінь довіри до того, що прийнято правильне рішення, шляхом надання ще однієї обґрунтованої думки людині-посереднику за наявності неузгоджених думок між декількома експертами-людьми;

  • можливість пояснення рішень: експертна система здатна докладно пояснити свої рішення, що привели до визначеного висновку, а людина може виявитися занадто втомленою, не схильною до пояснень або нездатною робити це постійно;

  • можливість застосування в якості інтелектуальної навчальної програми: експертна система може діяти як інтелектуальна навчальна програма, передаючи учню на виконання приклади програм і пояснюючи, на чому засновані судження системи;

  • можливість застосування у якості інтелектуальної бази даних: експертні системи можуть використовуватися для доступу до баз даних за допомогою інтелектуального способу доступу;

  • формалізація і перевірка знань: у процесі розробки експертної системи знання експертів-людей перетворяться в явну форму для введення в комп’ютер, у результаті чого вони стають явно відомими і з’являється можливість перевіряти знання на правильність, несуперечність і повноту.

Недоліки експертних систем:

  • експертні системи погано вміють: подавати знання про часові та просторові відношення, розмірковувати, виходячи зі здорового глузду, розпізнавати межі своєї компетентності, працювати із суперечливими знаннями;

  • інструментальні засоби побудови експертних систем погано вміють: виконувати набуття знань, уточнювати бази знань, працювати зі змішаними схемами подання знань;

  • побудова експертних систем не під силу кінцевому користувачу, який не володіє експертними знаннями про проблемну область;

  • необхідність залучення людини-експерта з проблемної області, що є носієм знань; неможливість повної відмови від експерта-людини;

  • можливі труднощі взаємодії експерта зі спеціалістом (інженер з питань знань), який шляхом діалогу з експертом оформляє отримані від експерта знання в обраній формі подання знань;

  • необхідність повної переробки програмного інструментарію, у випадку, якщо наявна оболонка експертної системи та / або використовувана нею модель подання знань погано підходять для обраної проблемної області, задачі;

  • тривалість процесів витягу знань з експерта, їхньої формалізації, перевірки на несуперечність і усунення протиріч.



Запитання для перевірки знань

  1. Що таке експертна система?

  2. Назвіть вимоги до експертних систем.

  3. Хто такі експерти?

  4. Назвіть основні характеристики експертних систем.

  5. Назвіть основні сфери застосування експертних систем.

  6. З яких блоків складається експертна система?

  7. Що таке база знань?

  8. Для чого призначений блок спілкування?

  9. Назвіть переваги експертних систем?

  10. Перелічіть недоліки експертних систем.

Тема 7

Аудит інформаційних систем і технологій


    1. Аудит інформаційних систем.

    2. Аудит інформаційних технологій.




    1. Аудит інформаційної системи підприємства

На відміну від ручних облікових систем, де записи здійснюються на папері і аудитор розглядає можливість знищення, підробки, заміни паперових документів, в умовах використання КІСП аудитору доводиться мати справу з питаннями безпеки та надійності комп'ютерних облікових систем. Таким чином, аудитор перевіряє низку суто технічних питань, які не мають прямого відношення до бухгалтерського обліку, але безпосередньо впливають на оцінку аудитором ризику системи контролю.

Для перевірок ефективності й безпечності інформаційної системи як такої здійснюють комп'ютерний аудит інформаційної системи. Під ним мається на увазі оцінка поточного стану комп'ютерної системи на відповідність деякому стандарту або запропонованим вимогам. Такий аудит не направлений на пропонування конкретного рішення, він дає можливість поглянути на інформаційну систему комплексно, виявити проблемні місця, сформувати обґрунтовані рекомендації для ухвалення рішення з усуненню недоліків. Він включає декілька напрямків.



Аудит технічного стану інформаційної системи

Аудит технічного стану інформаційної системи призначений для оцінки поточного стану інформаційної системи з метою реконструкції і модернізації, щоб підготуватися до розширення інформаційної системи і впровадження нових технологій. Його проведення дає змогу також організувати і налагодити підтримку інформаційної системи та розробити корпоративні стандарти підтримки інформаційної системи.

Аудит технічного стану інформаційної системи включає проведення таких заходів, як облік наявних на підприємстві апаратних засобів, програмного забезпечення, периферійних пристроїв і аналіз побудови структурованої кабельної системи, мереж передачі даних, функціонування ІТ-служби підприємства, технічних параметрів ефективності роботи інформаційної системи, її надійності та безпеки.



Аудит ефективності інформаційної системи

Аудит ефективності інформаційної системи дає можливість підприємству оцінити сукупну вартість володіння інформаційною системою і порівняти показники досліджуваної системи з лідером в цій галузі, а також оцінити терміни повернення інвестицій при вкладенні коштів в інформаційну систему, розробити оптимальну схему вкладень, здійснити ефективне витрачання коштів на обслуговування і підтримку, понизити виробничі витрати. Цей вид аудиту включає такі частини інформаційної системи підприємства, як апаратні засоби, програмне забезпечення, периферійні пристрої, ІТ-персонал компанії, а також документи, бізнес-процеси, інформаційні потоки, користувачі.

У результаті проведення такого аудиту підприємству-клієнту надається перелік звітності, що включає підсумковий звіт з рекомендаціями щодо оптимізації інформаційної системи і звіт за наслідками розрахунку сукупної вартості володіння.



Аудит інформаційної безпеки

Тривалий час розуміння ролі аудиту для безпеки діяльності підприємства зводилося до безпеки інформації та значно звужувало її сутність. Аудит є надзвичайно важливим чинником посилення безпеки підприємства, оскільки він дає змогу одержати об’єктивні якісні і кількісні оцінки поточного стану діяльності підприємства в сфері застосування інформаційних технологій.

В умовах зростаючих темпів розвитку бізнесу проведення аудиту безпеки підприємства в сфері застосування інформаційних технологій стає усе більше необхідним. При проведенні такого аудиту спеціалісти стикаються з проблемою співставлення можливих витрат на забезпечення безпеки і вигод, що отримуються при запровадженні системи безпеки. При цьому застосовується декілька методів:

– підрахунок зниження витрат, що досягаються внаслідок застосування заходів безпеки;

– розрахунок рентабельності витрат, що передбачає оцінювання дійсної (чистої) вартості ресурсів, що захищаються.

Визначення витрат для посилення безпеки підприємства повинен базуватися на використанні системи показників: 1) витрат на здійснення заходу; 2) розміру відверненої шкоди; 3) розміру заподіяної шкоди; 4) ефективності здійсненого заходу (як різниця відверненої та заподіяної шкоди, поділеної на витрати на здійснення заходу).

Розрахунок витрат повинен здійснюватися за допомогою спеціальних прийомів, а їх зниження має забезпечуватися шляхом застосування науково обґрунтованих методів. На кожному підприємстві система захисту має бути цілком індивідуальною. Її повнота та дієвість залежать від існуючої законодавчої бази, від обсягу матеріально-технічних та фінансових ресурсів, виділених керівниками підприємств, від розуміння кожним з працівників важливості забезпечення безпеки у сфері застосування інформаційних технологій.

Поетапне проведення аудиту створює можливості для вивчення поточного стану й планів розвитку інформаційних технологій на підприємстві, порівняння результатів використання інформаційних технологій з аналогічними, розробки рекомендацій для підприємства стосовно посилення безпеки підприємства у сфері застосування інформаційних технологій, а також оформлення і подання результатів аудиту.

Аудит безпеки діяльності підприємства у сфері інформаційних технологій доцільно проводити експертним шляхом. При проведенні такого аудиту виявляють недоліки в системі заходів захисту інформації на основі досвіду експертів, що беруть участь в аудиті. Мета проведення експертного аудиту полягає в оцінці стану інформаційної системи і розробці рекомендацій із застосування комплексу організаційних заходів і програмно-технічних засобів, спрямованих на захист інформаційних та інших ресурсів інформаційної системи від загроз. Експертний аудит дає змогу прийняти обґрунтовані рішення з використання засобів захисту, оптимальних щодо їх вартості й можливості попередження загроз безпеці діяльності підприємства у сфері інформаційних технологій. Такий аудит базується на аналізі ризику. Спираючись на методи аналізу ризику, аудитор визначає для обстежуваної інформаційної системи індивідуальний набір вимог безпеки, що найбільшою мірою враховує особливості даної інформаційної системи, середовища її функціонування і загроз безпеці, що існують в даному середовищі. Цей підхід є найбільш трудомістким і вимагає найвищої кваліфікації аудитора. На якість результатів аудиту, в цьому випадку, сильно впливає використовувана методологія аналізу і управління ризиками.

Результати аудиту безпеки підприємства у сфері інформаційних технологій мають бути узагальнені у пакеті підсумкових документів, що містять деталізовані рекомендації стосовно вдосконалення системи захисту інформації, впровадження нових і підвищення ефективності існуючих механізмів безпеки інформаційних систем



Аудит проектів впровадження і реінжинірингу

Якщо підприємство починає великі проекти модернізації інформаційної системи підприємства, використовує послуги системних інтеграторів з метою визначення реальних термінів і вартості проектів перед початком робіт або ставить перед собою мету контролю проектів впровадження в своїх філіях і дочірніх компаніях, застосовується аудит проектів впровадження і реінжинірингу. Він дає змогу оцінити ризики впровадження або реінжинірингу інформаційної системи, терміни і плановані ресурси на розробку і впровадження рішень, правильність вибору методів і технологій, а також завчасно виявити можливі помилки і отримати рекомендації, направлені на підвищення ефективності проекту. У проведення аудиту проектів впровадження і реінжинірингу входить перевірка проекту і складеного технічного завдання (ТЗ) на відповідність реальним вимогам підприємства і стандартам, перевірка виконаних робіт на відповідність технічному завданню, а також здійснюється оцінка ефективності виконаних робіт.



Оціночний аудит інформаційних систем.

Державні органи, а також зарубіжні партнери компанії можуть зажадати сертифікації інформаційної системи підприємства з метою відповідності послуг необхідному рівню якості. Для цього проводиться оціночний аудит інформаційних систем. У рамках оціночного аудиту інформаційної системи, як правило, виявляються відхилення від наявних стандартів і формуються рекомендації, що дозволяють усунути знайдені невідповідності.



Оціночний аудит програмного забезпечення

Програмне забезпечення посідає важливе місце в інформаційній системі будь-якого підприємства. Оціночний аудит програмного забезпечення дозволяє визначити економічну ефективність від впровадження і експлуатації як певного виду програм, так і комплексу програмних продуктів. Результати, отримані після його проведення, допоможуть підвищити економічну ефективність використання програмного забезпечення, визначити функціональність його використання й оптимальну схему впровадження, здійснити вибір найдешевшого варіанта переходу до ліцензійного програмного забезпечення, отримати рекомендації з оптимізації програмної інфраструктури.

У перелік звітності, що надається, входять опис результатів аналізу програмної інфраструктури, рекомендації з сумісності й коректності настройок програмного забезпечення і з підвищення ефективності й функціональності його використання.


    1. Аудит інформаційних технологій

У 60-х роках минулого століття впровадження інформаційних систем в бухгалтерському обліку призвело до появи нової професії у сфері інформаційних технологій (ІТ) - ІТ-аудитора. Незабаром була створена перша професійна асоціація ІТ-аудиторів — «Electronic Data Processing Auditors Association», метою якої стало вироблення стандартів і кращих практик проведення ІТ-аудиту.

В міжнародній практиці при проведені аудиту інформаційних технологій аудитори використовують спеціально розроблені стандарти CobiT, COSO, ITIL, CMMI та інші законодавчі акти.

В 1996 році Організацією аудиту та контролю інформаційних систем (Information Systems Audit and Control Foundation, ISACF), розроблено стандарт Control Objectives for Information and Related Technology (CobiT). Він складається з 40 міжнародних стандартів з управління та аудиту безпеки в сфері ІТ. Метою стандарту є дослідження, розробка і розповсюдження сучасних правил в сфері управління ІТ та їх перевірки. Cтандарт пов’язує інформаційні технології і дії аудиторів, об’єднує різні методичні рекомендації в єдиний ресурс, дозволяє на сучасному рівні управляти цілями і задачами, які ставляться перед конкретним підприємством чи фірмою і розв’язуються в інформаційній системі. CobiT враховує всі особливості інформаційних систем будь-якого масштабу і складності. Основна цінність CobiT полягає в тому, що він пропонує модель, яка забезпечує взаємозв’язок між бізнес-цілями та ІТ-процесами.

COSO – стандарт призначений для покращення якості фінансової звітності завдяки ефективному управлінню системою внутрішнього контролю. Стандарт опублікований в 1992 році Комітетом спонсорських організацій (Committee of sponsoring organisations). Стандарт передбачає розподіл завдань на три групи: операційна діяльність, фінансова звітність, відповідність законодавчим актам.

ITIL (IT infrastructure library) являє собою серію книг, в яких викладені теоретичні аспекти і практичний досвід в сфері управління ІТ і надання високоякісних інформаційних послуг. Цей стандарт є корисним для аудиторів, так як представляє дві концепції роботи інформаційних технологій: цілісний підхід і управління сервісом і орієнтацію на кінцевого користувача. Цілісність полягає в розробці універсальних програм аудиту, які враховують вимоги користувачів послуг і аудиторів. Визначення ефектів впливу нових і модифікованих систем допомагають аудитору визначати вплив інформаційних компонентів на фінансову звітність.

CMMI (Capability maturity model integration) – це збірник практичних рекомендацій для покращення процесу розробки програмних продуктів та інформаційних систем. В стандарті охарактеризовані чотири предметні області: системний інжиніринг, інжиніринг програмного забезпечення, розробка вбудованих продуктів і процесів, робота з постачальниками.



Законодавцями США прийнято низку законів, серед яких слід відзначити Акт Клінген-Кохена «Використання інформаційних технологій для перетворення управління». На підставі названого закону розроблена модель аудиторської перевірки ІТ, складовими якої є наступні етапи:

  • аудит попереднього клопотання про придбання ІТ;

  • аудит вимог до придбаного ІТ-проекту;

  • аудит відбору альтернативних проектів;

  • аудит планування придбання; аудит документів клопотання;

  • аудит початкового відбору;

  • аудит управління контрактом;

  • аудит випробування і прийому в експлуатацію ІТ-проекту .

Теоретичними та практичними розробками у сфері ІТ-аудиту займаються міжнародні організації.

Міжнародна організація ISO і Міжнародний форум з акредитації (International accreditation forumIAF) вбачають в ІТ-аудиті, перш за все, засіб перевірки інформаційних технологій, що застосовуються в організації, на відповідність процесам, цілям і місії бізнесу, перевірки стану інформаційної безпеки (ІТ-безпеки), а також інструмент обґрунтування доцільності застосування процесного підходу при побудові ІТ-середовища.

Британський інститут зі стандартизації (British Standards InstitutionBSI) в опублікованих стандартах і керівництвах орієнтує застосовувати ІТ-аудит як процедуру перевірки інформаційної безпеки підприємств, а також захисту, надійності і цілісності електронних даних.

Міжнародна організація ISACA та її інститути, фундація ISACF та інститут ITGI, пропонують розуміти і застосовувати аудит інформаційних технологій як особливий інструмент перевірки відповідності ІТ-середовища організації професійним стандартам і вимогам, зокрема й тим, що розроблені і опубліковані цими організаціями та засновані на найкращому досвіді у сфері ІТ-менеджменту.

Асоціація дипломованих сертифікованих бухгалтерів (The Association of Chartered Certified AccountantsACCA) пропонує розуміти ІТ-аудит і застосовувати його методи як невід’ємну частину процесу фінансового аудиту з метою встановлення достовірності і надійності даних, які підлягають аудиторській перевірці і на основі яких встановлюються аудиторські докази та формується аудиторський висновок.

Міжнародна організація INTOSIA дає визначення аудиту інформаційних технологій як процесу отримання й оцінювання аудиторських доказів щодо гарантій безпеки ІТ-середовища організації для решти її активів, ефективності його використання для досягнення цілей бізнесу, а також цілісності й захищеності даних (конфіденційної інформації). На думку експертів INTOSIA, ІТ-аудит є ширшим поняттям, ніж те значення, в якому його зазвичай розуміють і застосовують. Концептуально його поняття оцінювання й аналіз усіх аспектів ІТ-середовища організації, включаючи фінансові, організаційні, залежно від попередньо визначених цілей аудиту. Тому в загальному випадку мова йде про аудит ІТ-середовища як цілісної системи, а не про аудит інформаційних систем, інформаційної безпеки чи інших його окремих складових.

На сьогоднішній день аудит ІТ є обов'язковою частиною кожного незалежного фінансового аудиту, послуги ІТ-аудиту затребувані на ринку, а великі корпорації мають власні підрозділи ІТ-аудиту, які здійснюють періодичний контроль ІТ-процесів і допомагають їх вдосконалювати. При цьому, відповідність стандартам є необхідною умовою для проведення аудиту високої якості. 

Впровадження та використання ІТ для цілей бізнесу зовсім не гарантує отримання всіх очікуваних переваг. Оскільки, як показує практика, крім вигод інформаційні технології можуть привнести різноманітні негативні фактори, такі як залежність безперервності і результативності бізнесу від використання ІТ, а також різноманітні ІТ-ризики (починаючи від несанкціонованого доступу до конфіденційної інформації, і закінчуючи фінансовими махінаціями).

IT-аудит передбачає комплексний аналіз відповідності існуючої інформаційної системи завданням бізнесу, бізнес-процесам компанії, а також аналіз технологічної інфраструктури та системи інформаційної безпеки в компанії.

Зростаюча увага бізнесу до ІТ- аудиту обумовлена тим, що результати його проведення можуть дати відповіді на питання стосовно ефективності функціонування ІТ - середовища та його складових для досягнення цілей бізнесу; відповідності впроваджених ІТ моделей бізнесу, конкурентних переваг від використання ІТ, економічної обґрунтованості ІТ-інвестицій, впливу ІТ-ризиків на результати діяльності компанії, ефективності їх контролю, а також інших істотних аспектів.

Використання ІТ-аудиту в системі управління дає можливість керівництву компанії чітко побачити місце інформаційних технологій в загальній організаційній структурі та їх внесок у досягнення цілей бізнесу, оцінити рівень адекватності ІТ - стратегії до загальної стратегії бізнесу, рівень зрілості ІТ - процесів і менеджменту ІТ- ризиків.

Етапи проведення ІТ-аудиту наступні: попередня ІТ-діагностика; аудит ІТ-інфраструктури; аудит ІТ-підрозділу; аудит ІТ-безпеки; контроль впровадження рекомендацій ІТ-аудиту.



Результатом виконання IT-аудиту є:

  • складання висновку про поточний стан інформаційної системи;

  • аналіз виявлених відхилень між сформованою IT-інфраструктурою та завданнями управління;

  • рекомендації по усуненню невідповідності;

  • оцінка ефективності використання інформаційних технологій;

  • формування пропозицій щодо подальшого вдосконалення інформаційної системи, реінжинірингу IT-інфраструктури.

Така інформація дозволяє приймати ефективні рішення, які стосуються придбання і модернізації апаратних і програмних засобів, контролю за діяльністю інформаційної системи підприємства, планування розвитку ІТ, підвищення кваліфікації ІТ- персоналу. ІТ аудит є важливим етапом для вирішення завдань щодо оптимізації витрат, а також невід'ємною частиною аудиту системи інформаційної безпеки.

Поділіться з Вашими друзьями:
1   2   3   4   5


База даних захищена авторським правом ©divovo.in.ua 2017
звернутися до адміністрації

войти | регистрация
    Головна сторінка


загрузить материал