Информационные технологии контроля

Средства контроля информационных технологий (или средства контроля ИТ ) — это конкретные действия, выполняемые людьми или системами для обеспечения того, чтобы компьютерные системы работали таким образом, чтобы минимизировать риск. организации Они являются частью системы внутреннего контроля . Цели контроля ИТ обычно связаны с обеспечением конфиденциальности, целостности и доступности данных, а также с общим управлением функцией ИТ. Средства контроля ИТ часто описываются в двух категориях: общие средства контроля ИТ ( ITGC ) и средства контроля приложений ИТ. ITGC включает в себя контроль над оборудованием, системным программным обеспечением, операционными процессами, доступом к программам и данным, разработкой программ и изменениями программ. Средства контроля ИТ-приложений относятся к средствам контроля, обеспечивающим целостность информации, обрабатываемой ИТ-средой. контроль над информационными технологиями получил все большее значение в корпорациях, зарегистрированных в Соединенных Штатах В соответствии с Законом Сарбейнса-Оксли . COBIT Framework (Цели контроля для информационных технологий) — это широко используемая структура, разработанная Институтом управления ИТ, которая определяет различные цели ITGC и контроля приложений, а также рекомендуемые подходы к оценке.

ITGC представляет собой основу структуры управления ИТ. Они помогают обеспечить надежность данных, генерируемых ИТ-системами, и подтверждают утверждение о том, что системы работают должным образом и что выходные данные надежны. ITGC обычно включает в себя следующие виды контроля:

• Среда контроля, или средства контроля, предназначенные для формирования корпоративной культуры или « тона наверху ».
• Процедуры управления изменениями — средства контроля, предназначенные для обеспечения соответствия изменений бизнес-требованиям и их авторизации.
• исходного кода / документа Процедуры контроля версий — средства контроля, предназначенные для защиты целостности программного кода.
• Стандарты жизненного цикла разработки программного обеспечения — средства контроля, предназначенные для обеспечения эффективного управления ИТ-проектами.
• Политики, стандарты и процессы логического доступа — элементы управления, предназначенные для управления доступом на основе потребностей бизнеса.
• Политики и процедуры управления инцидентами — средства контроля, предназначенные для устранения ошибок оперативной обработки.
• Политики и процедуры управления проблемами — средства контроля, предназначенные для выявления и устранения основной причины инцидентов.
• Политики и процедуры технической поддержки — политики, помогающие пользователям работать более эффективно и сообщать о проблемах.
• Конфигурация аппаратного и программного обеспечения , установка, тестирование, стандарты управления, политики и процедуры.
• Аварийное восстановление / процедуры резервного копирования и восстановления , позволяющие продолжить обработку, несмотря на неблагоприятные условия.
• Физическая безопасность – средства контроля, обеспечивающие физическую безопасность информационных технологий от частных лиц и от экологических рисков.

Средства управления ИТ-приложениями или программами полностью автоматизированы (т. е. выполняются системами автоматически) и предназначены для обеспечения полной и точной обработки данных от ввода до вывода. Эти элементы управления различаются в зависимости от бизнес-цели конкретного приложения. Эти элементы управления также могут помочь обеспечить конфиденциальность и безопасность данных, передаваемых между приложениями. Категории средств управления ИТ-приложениями могут включать в себя:

• Проверки полноты — средства контроля, обеспечивающие обработку всех записей от начала до завершения.
• Проверки достоверности — средства контроля, обеспечивающие ввод или обработку только действительных данных.
• Идентификация — средства контроля, обеспечивающие уникальную и неопровержимую идентификацию всех пользователей.
• Аутентификация — элементы управления, обеспечивающие механизм аутентификации в системе приложения.
• Авторизация — средства контроля, обеспечивающие доступ к системе приложений только одобренным бизнес-пользователям.
• Элементы управления вводом — элементы управления, обеспечивающие целостность данных, поступающих из вышестоящих источников в прикладную систему.
• Криминалистический контроль - контроль, обеспечивающий научность и математическую правильность данных на основе входных и выходных данных.

организации Директор по информационным технологиям или директор по информационной безопасности обычно отвечает за безопасность , точность и надежность систем, которые управляют данными компании, включая финансовые данные, и сообщают о них.

COBIT — это широко используемая структура, содержащая лучшие практики управления информацией и технологиями, предназначенные для всего предприятия. Он состоит из доменов и процессов. Базовая структура указывает на то, что ИТ-процессы удовлетворяют бизнес-требованиям, которые обеспечиваются конкретными ИТ-деятельностью. COBIT определяет факторы проектирования, которые следует учитывать предприятию для построения наиболее подходящей системы управления. COBIT решает проблемы управления, группируя соответствующие компоненты управления в управление и управление. цели, которыми можно управлять на требуемом уровне возможностей. ^[1]

Комитет организаций-спонсоров Комиссии Тредуэя (COSO) выделяет пять компонентов внутреннего контроля: контрольная среда , оценка рисков , контрольная деятельность , информация, коммуникация и мониторинг , которые необходимы для достижения финансовой отчетности целей и раскрытия информации; COBIT предоставляет аналогичные подробные рекомендации для ИТ, в то время как взаимосвязанный Val IT концентрируется на управлении ИТ более высокого уровня и вопросах соотношения цены и качества. Пять компонентов COSO можно визуализировать как горизонтальные слои трехмерного куба, при этом целевые области COBIT применяются к каждому по отдельности и в совокупности. Четыре основные области COBIT: планирование и организация, приобретение и внедрение, поставка и поддержка, а также мониторинг и оценка.

SOX (часть федерального закона США ) требует от генерального директора и главных финансовых директоров публичных компаний подтверждать точность финансовых отчетов (раздел 302) и требует от публичных компаний установить адекватный внутренний контроль над финансовой отчетностью (раздел 404). Принятие SOX привело к повышенному вниманию к средствам контроля ИТ, поскольку они поддерживают финансовую обработку и, следовательно, подпадают под сферу оценки руководством внутреннего контроля в соответствии с разделом 404 SOX.

Структура COBIT может использоваться для обеспечения соответствия требованиям SOX, хотя COBIT значительно шире по своему охвату. Руководство SOX от PCAOB 2007 г. ^[2] и SEC ^[3] заявляют, что средства контроля ИТ должны быть частью оценки SOX 404 только в той степени, в которой рассматриваются конкретные финансовые риски , что значительно уменьшает объем средств контроля ИТ, необходимых для оценки. компании Это решение об объеме работ является частью нисходящей оценки рисков по стандарту SOX 404 . Кроме того, Положение о стандартах аудита № 109 (SAS109) ^[4] обсуждает ИТ-риски и цели контроля, имеющие отношение к финансовому аудиту, и на него ссылается руководство SOX.

ИТ-контроль, который обычно подпадает под оценку SOX 404, может включать:

• Специальные процедуры контроля приложений (обработки транзакций), которые непосредственно снижают выявленные риски финансовой отчетности. Обычно в основных приложениях каждого финансового процесса имеется несколько таких элементов управления, таких как кредиторская задолженность, расчет заработной платы, главная книга и т. д. Основное внимание уделяется «ключевым» элементам управления (тем, которые конкретно касаются рисков), а не всему приложению.
• Общие средства контроля ИТ, которые поддерживают утверждения о том, что программы функционируют должным образом и что ключевые финансовые отчеты надежны, в первую очередь контроль изменений и меры безопасности;
• Средства контроля ИТ-операций, которые гарантируют выявление и исправление проблем с обработкой.

Конкретные действия, которые могут быть предприняты для поддержки оценки ключевых средств контроля, указанных выше, включают:

• организации Понимание программы внутреннего контроля и процессов ее финансовой отчетности .
• Определение ИТ-систем, участвующих в инициировании, авторизации, обработке, обобщении и отчетности финансовых данных;
• Определение ключевых средств контроля, направленных на устранение конкретных финансовых рисков;
• Разработка и внедрение средств контроля, предназначенных для смягчения выявленных рисков, и их мониторинг для обеспечения постоянной эффективности;
• Документирование и тестирование ИТ-контроля;
• Обеспечение обновления и изменения средств ИТ-контроля по мере необходимости в соответствии с изменениями в процессах внутреннего контроля или финансовой отчетности; и
• Мониторинг ИТ-контроля для обеспечения эффективной работы с течением времени.

Чтобы соответствовать закону Сарбейнса-Оксли, организации должны понимать, как работает процесс финансовой отчетности, и иметь возможность определять области, в которых технологии играют решающую роль. При рассмотрении того, какие средства контроля включить в программу, организации должны осознавать, что средства контроля ИТ могут оказывать прямое или косвенное влияние на процесс подготовки финансовой отчетности. Например, средства контроля ИТ-приложений, обеспечивающие полноту транзакций, могут быть напрямую связаны с финансовыми утверждениями. С другой стороны, средства контроля доступа существуют внутри этих приложений или внутри их поддерживающих систем, таких как базы данных , сети и операционные системы , которые одинаково важны, но не связаны напрямую с финансовым утверждением. Средства управления приложениями обычно соответствуют бизнес-процессу , в результате которого формируются финансовые отчеты. Несмотря на то, что в организации работает множество ИТ-систем, соблюдение закона Сарбейнса-Оксли фокусируется только на тех, которые связаны со значительными счетами или связанными с ними бизнес-процессами и снижают конкретные существенные финансовые риски. Такое внимание к рискам позволяет руководству значительно сократить объем тестирования общего контроля ИТ в 2007 году по сравнению с предыдущими годами.

Раздел	Заголовок	Описание
302	Корпоративная ответственность за финансовую отчетность	Подтверждает, что точность финансовой отчетности и операционная деятельность были задокументированы и предоставлены генеральному директору и финансовому директору для сертификации.
404	Оценка руководством внутреннего контроля	Операционные процессы документируются и практикуются, демонстрируя происхождение данных в балансе. Раздел 404 SOX (раздел 404 Закона Сарбейнса-Оксли) требует, чтобы все публично торгуемые компании установили внутренний контроль и процедуры для финансовой отчетности, а также документировали, тестировали и поддерживали эти средства контроля и процедуры для обеспечения их эффективности.
409	Раскрытие информации об эмитенте в режиме реального времени	Публичные компании должны раскрывать изменения в своем финансовом состоянии или деятельности в режиме реального времени, чтобы защитить инвесторов от несвоевременного сообщения о существенных событиях.
802	Уголовное наказание за подделку документов	Требует, чтобы публичные компании и их аудиторские фирмы сохраняли записи, в том числе электронные, которые влияют на активы или результаты деятельности компании. Штрафы и тюремное заключение для тех, кто сознательно и умышленно нарушает этот раздел в отношении (1) уничтожения, изменения или фальсификации записей в ходе федеральных расследований и банкротств и (2) уничтожения записей корпоративного аудита.

Раздел 409 требует от публичных компаний оперативно раскрывать информацию о существенных изменениях в их финансовом состоянии или деятельности. Компаниям необходимо определить, способны ли их существующие финансовые системы, такие как приложения для управления ресурсами предприятия, предоставлять данные в режиме реального времени, или же организации потребуется добавить такие возможности или использовать специальное программное обеспечение для доступа к данным. Компании также должны учитывать изменения, происходящие извне, например, изменения со стороны клиентов или деловых партнеров, которые могут существенно повлиять на их собственное финансовое положение (например, банкротство и дефолт ключевых клиентов/поставщиков).

Чтобы соответствовать разделу 409, организации должны оценивать свои технологические возможности по следующим категориям:

• Наличие внутренних и внешних порталов . Порталы помогают направлять и определять проблемы и требования к отчетности для инвесторов и других соответствующих сторон. Эти возможности удовлетворяют потребность в быстром раскрытии информации.

• Широта и адекватность финансовых триггеров и предупреждений . Организация устанавливает растяжки, которые положат начало раскрытию информации в соответствии с разделом 409.

• Адекватность хранилищ документов . Репозитории играют решающую роль в мониторинге событий для оценки потребностей в раскрытии информации и обеспечения механизма проверки адекватности раскрытия информации.

• Способность одним из первых внедрить расширяемый язык бизнес-отчетности (XBRL) . XBRL станет ключевым инструментом для интеграции и взаимодействия транзакционных систем, инструментов отчетности и анализа, порталов и репозиториев.

• Непрерывный аудит
• Управление данными
• Информационный технологический аудит
• ИТ-риск
• Управление ИТ-рисками
• Совет по надзору за бухгалтерским учетом публичных компаний

• Коу, Мартин Дж. «Услуги доверия: лучший способ оценить ИТ-контроль: выполнение требований раздела 404». Журнал бухгалтерского учета 199.3 (2005): 69 (7).
• Чан, Салли и Стэн Лепик. «ИТ и Сарбейнс-Оксли». CMA Management 78.4 (2004): 33(4).
• Гудвин, Билл. «ИТ должен возглавить дело Сарбейнса-Оксли». Computer Weekly 27 апреля 2004 г.: стр. 5.
• Гомолский, Барбара. «Пять главных проблем для ИТ-директоров». Computerworld, январь 2004 г.: 42 (1).
• Хагерти, Джон. «Сарбейнса-Оксли теперь является фактом деловой жизни. Исследование показывает, что расходы SOX на соблюдение требований ИТ будут расти до 2005 года». ВАРбизнес 15 ноября 2004 г.: 88.
• Altiris.com
• «Цели ИТ-контроля для Сарбейнса Оксли: важность ИТ в разработке, внедрении и устойчивости внутреннего контроля над раскрытием информации и финансовой отчетностью». itgi.org . Апрель 2004 г. Институт управления ИТ. 12 мая 2005 г.
• Джонстон, Мишель. «Проведение ИТ-аудита на соответствие Сарбейнсу-Оксли». Informit.com . 17 сентября 2004 г.
• «Важность мониторинга общих средств контроля ИТ и средств контроля ИТ-приложений». [1] . 30 мая 2022 г.
• Лурье, Барри Н. «Информационные технологии и соблюдение закона Сарбейнса-Оксли: что должен понимать финансовый директор». Банковский учет и финансы 17.6 (2004): 9 (5).
• МакКоллум, Тим. «Семинар IIA исследует влияние Сарбейнса-Оксли на ИТ». ИТ-аудит 6 (2003).
• МакКоннелл-младший, Дональд К. и Джордж Ю. Бэнкс. «Как Сарбейнс-Оксли изменит процесс аудита». aicpa.org (2003).
• Мюнтер, Пол. «Оценка внутреннего контроля и независимости аудиторов при Сарбейнсе-Оксли». Финансовый руководитель 19.7 (2003): 26 (2).
• «Перспективы отчетности по внутреннему контролю: ресурс для участников финансового рынка». Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Декабрь 2004 г.
• Пьяцца, Питер. «Требования ИТ-безопасности Сарбейнса-Оксли». Управление безопасностью, июнь 2004 г.: 40 (1).
• «Раздел 404 Сарбейнса-Оксли: Обзор требований PCAOB». КПМГ. Апрель 2004 года.
• «Расходы Сарбейнса-Оксли в 2004 году превысили ожидания: расходы на соблюдение раздела 404 в 2004 году составили в среднем 4,4 миллиона долларов, как показало исследование». Информационная неделя, 22 марта 2005 г.
• «Влияние Сарбейнса-Оксли на ИТ и корпоративное управление». serena.com 12 мая. 2005 г.
• Пять шагов к успеху в обеспечении соответствия электронным таблицам . Неделя соответствия, июль 2006 г.
• Pcaobus.org , Новый стандарт аудита PCAOB для внутреннего контроля над финансовой отчетностью одобрен SEC.