Программа кейс-стади по оценке системы внутренних контролей в ИРРО
Объект аудита: .......................................................................................................... 2
Цель: .......................................................................................................................... 2 Правила организации работ: .................................................................................. 2 Содержание работ: ................................................................................................... 2 Отчетная документация: ......................................................................................... 5 Структура отчета по практике ................................................................................ 5 Отчетные формы ...................................................................................................... 7 Используемые термины и определения ................................................................ 9 Основные контактные лица: .................................................................................. 11 Объект аудита: Информационная система «Информационные ресурсы реализации обучения» (ИРРО)
Цель: Обзор системы внутреннего контроля ИРРО.
Правила организации работ:
1) Задание выполняется группой студентов, руководство которой осуществляет менеджер. Менеджера выбирает группы путем рейтингового голосования. 2) Команда имеет право поменять менеджера, если он не справляется с возложенными на него обязанностями. Решение о замене менеджера определяется путем голосования квалифицированным большинством (тремя четвертями) голосов. 3) Менеджер имеет право дисквалификации членов группы, если они не выполняют порученные им задания. 4) Со стороны института работу координируют Балашов А., Соколова Н.Ю. 5) Список интервью с сотрудниками института должен быть заранее согласован с Балашовым А. или Соколовой Н.Ю. 6) Любые обработки данных могут проводиться только на компьютерах института (8 корпус) и должны предварительно согласовываться с Соколовой Н.Ю.
Содержание работ: 1. Подготовка детального плана работ и распределение задания между членами группы.
2. Получение и анализ информации об объекте проверки:
анализ документации, проведение интервью с людьми, работающими с системой, наблюдение за работой пользователей в системе.
3. Анализ и оценка системы внутреннего контроля в основных процессах:
Занесение информации в ИРРО (т.е. подготовка, утверждение
информационного ресурса и программ и ввод их в ИРРО).
Поддержание ИРРО в актуальном состоянии (т.е. обновление записей,
их удаление и т.д.)
3.1. Описание процессов (диаграммы и описание).
3.2. Определение целей ИРРО и выделение основных рисков (составление
матрицы рисков).
3.3. Определение и анализ существующих контрольных процедур
(контролей), которые адресуют риски (составление матрицы контролей).
3.4. Проведение тестирования контролей.
3.5. Выявление отсутствующих либо неэффективных контролей.
Подготовка рекомендаций.
4. Анализ и оценка общих компьютерных контролей в следующих областях:
4.1.1. Управление доступом к системе и данным.
4.1.2. Концепция разделения прав и полномочий в системе.
4.1.3. Эксплуатация и текущая поддержка системы.
4.1.4. Доработка системы, внесение изменений.
4.1.5. Внедрение системы.
5. Проверка данных системы на наличие ошибок:
5.1.1. Дублирование информации (дублирование записей, полей и
т.д.)
5.1.2. Ошибки в связях между записями.
6. Проверка правильности формирования отчетных форм (группы могут
поделить работу между собой):
6.1.1. Отчет по всем программам.
6.1.2. Отчет по информационным ресурсам.
6.1.3. Отчет по структурным компонентам.
7. Выявление «узких» мест, ошибок и подготовка рекомендаций.
Отчетная документация: 1. Детальный план-график работ.
2. Отчет по практике.
3. Презентация результатов в PowerPoint. В представлении итоговой
презентации должны участвовать все члены группы.
По окончании практики каждая группа предоставляет отчетную
документацию в электронном форме и 1 экземпляр в распечатанном виде.
Структура отчета по практике
Оглавление. Цели и задачи. План-график и анализ отклонений. Объект исследования. Описание общего понимания работы системы. Анализ и оценка системы внутреннего контроля в основных процессах: o Описание процессов (диаграммы и текстовое описание). o Матрица целей и рисков o Матрица контролей o Результаты тестирования эффективности контролей. o Замечания и рекомендации. Анализ и оценка общих компьютерных контролей по областям: o Текстовое описание ИТ процессов и контролей. o Матрица целей и рисков. o Матрица контролей. o Таблица разделения полномочий. o Результаты тестирования эффективности контролей. o Замечания и рекомендации. Проверка данных системы на наличие ошибок: o Описание проделанной работы. o Результаты. o Рекомендации. Проверка правильности формирования отчетных форм: o Описание проделанной работы. o Результаты. o Рекомендации. Выводы. Резюме членов команды. Приложения: o Повестки встреч, o Используемая литература. o Тексты SQL-запросов. Отчетные формы План-график
№ Этап Задача Документы Ответственный Срок
Таблица описания бизнес-процесса
Диаграмма Текстовое описание
Контекстная диаграмма
Диаграмма декомпозиции
Используемые графические формы:
<unit> <unit> <unit> <unit>
Control activity Subprocess Activity Control activity (with weakness) <ref> <ref> <ref> <ref>
Document/ file Decision> Screen Information system
Connector Матрица рисков
№ Цель Описание Вероятность Комментарии
риска (высок/cр/ низк)
Матрица контролей и тестирования
№ Рис Кр. Частота Контроль Контроль Тестирование Выводы
к описание контрол предупредитель ручной/ контроля контроля я ный/ автоматический обнаружения Описание Процедура Цель Результат Результат Исполнитель Дата
Замечания и рекомендации
№ Ситуация/ замечание Риск Рекомендация
Высокий Средний Низкий Таблица разделения полномочий и прав доступа
Права доступа
(Права доступа) Функция 1 (
Функция 2
Функция 3 Пользователи
….. Пользователь X Пользователь Y
Используемые термины и определения
Автоматический контроль – контроль, выполняемый информационной системой (ИС) либо обеспечиваемый настройками ИС.
Контроль обнаружения – контроль, целью которого является
обнаружение уже существующих ошибок и совершенных нарушений.
Контрольная процедура (контроль)– политики и процедуры,
обеспечивающие выполнение поставленных целей.
Предупредительный контроль – контроль, целью которого является
предупреждение возникновения ошибок/ нарушений.
Риск – что-либо, что может привести к тому, что поставленные цели не
будут достигнуты.
Ручной контроль – контроль, выполняемый с участием человека.
Тестирование контроля – процесс проверки выполнения контроля.
Цели обработки информации: точность, полнота, достоверность,
ограничение доступа.
Частота контроля – среднее количество исполнения контрольной
процедуры в течение года, т.е. годовая, еженедельная, ежемесячная, ежедневная, несколько раз в день. Основные контактные лица:
Балашов Александр, ПРИТ (координатор)
Соколова Натэлла Юрьевна, ПРИТ (координатор)
Кирьянова Наталья Михайловна, Институт организации учебного
процесса (формализация материалов)
Кулагина Анна Владимировна, каф. КИТИС (разработка программы)
