В бизнесе и бухгалтерского учета , управления информационных технологий (или управления ИТ ) являются конкретные виды деятельности , осуществляемые лицами или систем , предназначенных для обеспечения того , чтобы бизнес цели достигнуты. Они являются частью внутреннего контроля предприятия . Цели ИТ-контроля связаны с конфиденциальностью, целостностью и доступностью данных, а также с общим управлением ИТ-функцией бизнес-предприятия. ИТ-средства управления часто описываются в двух категориях: общие средства управления ИТ ( ITGC ) и средства управления ИТ-приложениями. ITGC включает средства контроля над информационными технологиями(ИТ) среда, компьютерные операции, доступ к программам и данным, разработка программ и изменения программ. Элементы управления ИТ-приложениями относятся к элементам управления обработкой транзакций, иногда называемым элементами управления «ввод-обработка-вывод». Контроль за информационными технологиями получил повышенное внимание в корпорациях, перечисленных в Соединенных Штатах в соответствии с Законом Сарбейнса-Оксли . Структура COBIT (Цели управления информационными технологиями) - это широко используемая структура, опубликованная Институтом управления ИТ, которая определяет различные цели ITGC и контроля приложений и рекомендуемые подходы к оценке. ИТ-отделы в организациях часто возглавляет директор по информационным технологиям. (CIO), который отвечает за обеспечение эффективного контроля информационных технологий.
Общий контроль ИТ (ITGC)
ITGC представляет собой основу структуры управления ИТ. Они помогают обеспечить надежность данных, генерируемых ИТ-системами, и подтверждают утверждение, что системы работают должным образом и что выходные данные являются надежными. ITGC обычно включает следующие типы контроля:
- Контрольная среда или средства контроля, предназначенные для формирования корпоративной культуры или « тона наверху ».
- Процедуры управления изменениями - средства контроля, предназначенные для обеспечения того, чтобы изменения соответствовали бизнес-требованиям и были санкционированы.
- Процедуры контроля версий исходного кода / документа - средства управления, предназначенные для защиты целостности программного кода.
- Стандарты жизненного цикла разработки программного обеспечения - средства контроля, обеспечивающие эффективное управление ИТ-проектами.
- Политики, стандарты и процессы логического доступа - средства управления, предназначенные для управления доступом в зависимости от бизнес-потребностей.
- Политики и процедуры управления инцидентами - средства контроля, предназначенные для устранения ошибок оперативной обработки.
- Политики и процедуры управления проблемами - средства управления, предназначенные для выявления и устранения основной причины инцидентов.
- Политики и процедуры технической поддержки - политики, помогающие пользователям работать более эффективно и сообщать о проблемах.
- Конфигурация оборудования / программного обеспечения , установка, тестирование, стандарты управления, политики и процедуры.
- Аварийное восстановление / резервное копирование и процедуры восстановления , чтобы обеспечить непрерывную обработку даже в неблагоприятных условиях.
- Физическая безопасность - средства контроля, обеспечивающие физическую безопасность информационных технологий от людей и от экологических рисков.
Управление ИТ-приложениями
Управление ИТ-приложениями или программами полностью автоматизировано (т. Е. Выполняется автоматически системами) и предназначено для обеспечения полной и точной обработки данных от ввода до вывода. Эти элементы управления различаются в зависимости от бизнес-цели конкретного приложения. Эти элементы управления также могут помочь обеспечить конфиденциальность и безопасность данных, передаваемых между приложениями. Категории средств управления ИТ-приложениями могут включать:
- Проверки полноты - средства контроля, обеспечивающие обработку всех записей от начала до завершения.
- Проверки действительности - средства контроля, обеспечивающие ввод или обработку только достоверных данных.
- Идентификация - средства контроля, обеспечивающие однозначную и неопровержимую идентификацию всех пользователей.
- Аутентификация - элементы управления, обеспечивающие механизм аутентификации в системе приложения.
- Авторизация - элементы управления, обеспечивающие доступ к системе приложения только утвержденным бизнес-пользователям.
- Элементы управления вводом - элементы управления, обеспечивающие целостность данных, передаваемых из вышестоящих источников в систему приложения.
- Криминалистический контроль - контроль, обеспечивающий правильность данных с научной и математической точек зрения на основе входных и выходных данных.
ИТ-контроль и ИТ-директор / директор по информационной безопасности
Директор по информационным технологиям (CIO) или директор по информационной безопасности (CISO) организации обычно отвечает за безопасность , точность и надежность систем, которые управляют данными компании, включая финансовые данные, и сообщают о них. Системы финансового учета и планирования ресурсов предприятия интегрированы в инициирование, авторизацию, обработку и составление отчетов по финансовым данным и могут быть задействованы в соблюдении требований закона Сарбейнса-Оксли в той степени, в которой они снижают конкретные финансовые риски.
Системы внутреннего контроля
COBIT (Контрольные цели для информационных технологий)
COBIT - это широко используемая структура, содержащая передовой опыт управления информацией и технологиями, нацеленная на все предприятие. Он состоит из доменов и процессов. Базовая структура показывает, что ИТ-процессы удовлетворяют бизнес-требованиям, что обеспечивается конкретными ИТ-операциями. COBIT определяет факторы проектирования, которые следует учитывать предприятию для построения наиболее подходящей системы управления. COBIT решает вопросы управления, группируя соответствующие компоненты управления в задачи управления и управления, которыми можно управлять до требуемых уровней возможностей. [1]
COSO
Комитет спонсорских организаций Комиссии Тредуэя (COSO) определяет пять компонентов внутреннего контроля: контроль среды , оценка рисков , контроль деятельности , информации и коммуникации и контроля , которые должны быть на месте для достижения финансовой отчетности и целей раскрытия информации; COBIT предоставляет аналогичное подробное руководство для ИТ, в то время как взаимосвязанная ИТ- служба Val концентрируется на управлении ИТ более высокого уровня и вопросах соотношения цены и качества. Пять компонентов COSO можно визуализировать как горизонтальные слои трехмерного куба, причем целевые области COBIT применяются к каждому по отдельности и в совокупности. Четыре основных области COBIT : планирование и организация, приобретение и внедрение, предоставление и поддержка, а также мониторинг и оценка.
ИТ-контроль и Закон Сарбейнса-Оксли (SOX)
SOX (часть федерального закона США ) требует от генерального директора и главных финансовых директоров публичных компаний подтверждать точность финансовой отчетности (раздел 302) и требует от публичных компаний установления надлежащего внутреннего контроля над финансовой отчетностью (раздел 404). Принятие SOX привело к усилению внимания к средствам контроля ИТ, поскольку они поддерживают финансовую обработку и, следовательно, подпадают под сферу действия оценки внутреннего контроля руководством в соответствии с разделом 404 SOX.
Структура COBIT может использоваться для обеспечения соответствия SOX, хотя COBIT значительно шире по своему охвату. В руководстве SOX 2007 от PCAOB [2] и SEC [3] говорится, что средства контроля ИТ должны быть частью оценки SOX 404 только в той степени, в которой рассматриваются конкретные финансовые риски, что значительно сокращает объем средств контроля ИТ, требуемых при оценке. . Это решение об определении объема работ является частью нисходящей оценки рисков SOX 404, проводимой организацией . Кроме того, в Положении о стандартах аудита № 109 (SAS109) [4] обсуждаются ИТ-риски и цели контроля, относящиеся к финансовому аудиту, и на него делается ссылка в руководстве SOX.
ИТ-средства управления, которые обычно входят в сферу оценки SOX 404, могут включать:
- Специальные процедуры контроля приложений (обработки транзакций), которые напрямую снижают выявленные риски финансовой отчетности. Обычно существует несколько таких элементов управления в основных приложениях каждого финансового процесса, таких как кредиторская задолженность, начисление заработной платы, главная бухгалтерская книга и т. Д. Основное внимание уделяется «ключевым» элементам управления (те, которые конкретно относятся к рискам), а не всему приложению.
- Общие средства контроля ИТ, которые подтверждают утверждения о том, что программы функционируют должным образом и что ключевые финансовые отчеты надежны, в первую очередь средства контроля изменений и безопасности;
- Средства контроля ИТ-операций, обеспечивающие выявление и устранение проблем с обработкой.
Конкретные действия, которые могут потребоваться для поддержки оценки вышеперечисленных ключевых средств контроля, включают:
- Понимание программы внутреннего контроля организации и процессов финансовой отчетности .
- Выявление ИТ-систем, участвующих в инициировании, авторизации, обработке, обобщении и представлении финансовых данных;
- Определение ключевых средств контроля, направленных на устранение конкретных финансовых рисков;
- Разработка и внедрение средств контроля, предназначенных для снижения выявленных рисков, и их мониторинг для обеспечения постоянной эффективности;
- Документирование и тестирование средств контроля ИТ;
- Обеспечение обновления и изменения средств управления ИТ по мере необходимости в соответствии с изменениями в процессах внутреннего контроля или финансовой отчетности; а также
- Мониторинг ИТ-средств контроля для обеспечения эффективной работы с течением времени.
Чтобы соответствовать требованиям закона Сарбейнса-Оксли, организации должны понимать, как работает процесс финансовой отчетности, и уметь определять области, в которых технологии играют решающую роль. При рассмотрении того, какие средства контроля включить в программу, организации должны осознавать, что средства контроля ИТ могут иметь прямое или косвенное влияние на процесс финансовой отчетности. Например, средства управления ИТ-приложениями, обеспечивающие полноту транзакций, могут быть напрямую связаны с финансовыми утверждениями. С другой стороны, средства контроля доступа существуют в этих приложениях или в их поддерживающих системах, таких как базы данных , сети и операционные системы , одинаково важны, но не напрямую связаны с финансовым утверждением. Средства управления приложениями обычно согласованы с бизнес-процессом, который приводит к составлению финансовых отчетов. Несмотря на то, что в организации работает множество ИТ-систем, соблюдение закона Сарбейнса-Оксли сосредоточено только на тех, которые связаны со значительным счетом или связанным бизнес-процессом и снижают конкретные материальные финансовые риски. Такое внимание к рискам позволяет руководству значительно сократить объем общего контрольного тестирования ИТ в 2007 году по сравнению с предыдущими годами.
302 | Корпоративная ответственность за финансовую отчетность | Подтверждает, что точность финансовой отчетности и операционная деятельность были задокументированы и предоставлены генеральному директору и финансовому директору для сертификации. |
404 | Управленческая оценка внутреннего контроля | Операционные процессы документируются и практикуются, демонстрируя происхождение данных в балансе. Раздел 404 SOX (Раздел 404 Закона Сарбейнса-Оксли) предписывает всем публично торгуемым компаниям установить внутренний контроль и процедуры финансовой отчетности, а также документировать, тестировать и поддерживать эти средства контроля и процедуры для обеспечения их эффективности. |
409 | Раскрытие информации об эмитенте в режиме реального времени | Публичные компании должны сообщать об изменениях в своем финансовом состоянии или деятельности в режиме реального времени, чтобы защитить инвесторов от несвоевременного сообщения о существенных событиях. |
802 | Уголовные наказания за подделку документов | Требует, чтобы публичные компании и их публичные бухгалтерские фирмы сохраняли записи, включая электронные записи, которые влияют на активы или результаты деятельности компании. Штрафы и тюремное заключение для тех, кто сознательно и умышленно нарушает этот раздел в отношении (1) уничтожения, изменения или фальсификации записей в федеральных расследованиях и банкротстве и (2) уничтожения записей корпоративного аудита. |
Раскрытие информации в реальном времени
Раздел 409 требует от публичных компаний оперативного раскрытия информации о существенных изменениях в их финансовом состоянии или деятельности. Компаниям необходимо определить, способны ли их существующие финансовые системы, такие как приложения для управления ресурсами предприятия, предоставлять данные в режиме реального времени, или же организации потребуется добавить такие возможности или использовать специальное программное обеспечение для доступа к данным. Компании также должны учитывать изменения, происходящие извне, например, изменения со стороны клиентов или деловых партнеров, которые могут существенно повлиять на их собственное финансовое положение (например, банкротство и дефолт ключевого клиента / поставщика).
Чтобы соответствовать Разделу 409, организации должны оценивать свои технологические возможности по следующим категориям:
- Доступность внутренних и внешних порталов. Порталы помогают направлять и выявлять проблемы и требования к отчетности для инвесторов и других заинтересованных сторон. Эти возможности удовлетворяют потребность в быстром раскрытии информации.
- Широта и адекватность финансовых триггеров и предупреждений - Организация устанавливает путевые тросы, которые приведут к раскрытию информации согласно Разделу 409.
- Адекватность репозиториев документов - репозитории играют критически важную роль в мониторинге событий для оценки потребностей в раскрытии информации и обеспечения механизма аудита адекватности раскрытия информации.
- Возможность одним из первых внедрить расширяемый язык бизнес-отчетности (XBRL) - XBRL станет ключевым инструментом для интеграции и взаимодействия транзакционных систем, инструментов отчетности и аналитики, порталов и репозиториев.
Раздел 802 и хранение записей
Раздел 802 Закона Сарбейнса-Оксли требует, чтобы публичные компании и их бухгалтерские фирмы вели все рабочие документы аудита или обзора в течение пяти лет с конца финансового периода, в котором аудит или обзор был завершен. Сюда входят электронные записи, которые создаются, отправляются или получаются в связи с аудитом или обзором. Поскольку внешние аудиторы в определенной степени полагаются на работу внутреннего аудита, это будет означать, что записи внутреннего аудита также должны соответствовать Разделу 802.
В связи с хранением документов другой проблемой является безопасность носителей информации и степень защиты электронных документов как для текущего, так и для будущего использования. Требование пятилетнего хранения записей означает, что современные технологии должны поддерживать то, что хранилось пять лет назад. Из-за быстрых изменений в технологиях некоторые из сегодняшних средств массовой информации могут устареть в ближайшие три-пять лет. Сохраненные сегодня данные аудита могут быть недоступны не из-за ухудшения качества данных, а из-за устаревшего оборудования и носителей.
Раздел 802 предполагает, что организации ответят на вопросы по управлению содержанием SOX. Вопросы, связанные с ИТ, включают политику и стандарты хранения, защиты и уничтожения записей, онлайн-хранилище, контрольные журналы, интеграцию с корпоративным репозиторием, рыночные технологии, программное обеспечение SOX и многое другое. Кроме того, организации должны быть готовы защищать качество своей программы управления записями (RM); полнота RM (то есть бумажная, электронная, транзакционная коммуникация, которая включает электронную почту , мгновенные сообщения и электронные таблицы , которые используются для анализа финансовых результатов), адекватность жизненного цикла хранения, неизменность практик RM, контрольные журналы, а также доступность и контроль RM содержание.
Приложение для конечного пользователя / элементы управления электронной таблицей
Электронные таблицы или базы данных на базе ПК часто используются для предоставления важных данных или расчетов, относящихся к областям финансового риска в рамках оценки SOX 404. Финансовые электронные таблицы часто относятся к инструментам вычислений для конечных пользователей (EUC), в которых исторически отсутствовали традиционные средства управления ИТ. Они могут поддерживать сложные вычисления и обеспечивать значительную гибкость. Однако гибкость и мощность сопряжены с риском ошибок, повышенным потенциалом мошенничества и неправильного использования критически важных электронных таблиц, не соответствующих жизненному циклу разработки программного обеспечения (например, проектирование, разработка, тестирование, проверка, развертывание). Для исправления и контроля электронных таблиц общественные организации могут применять такие меры контроля, как:
- Таблицы инвентаризации и ранжирования рисков, которые связаны с критическими финансовыми рисками, которые определены как подпадающие под оценку SOX 404. Обычно они связаны с ключевыми оценками и суждениями предприятия, в которых используются сложные расчеты и допущения. Таблицы, используемые только для загрузки и выгрузки, не вызывают беспокойства.
- Выполните анализ рисков, чтобы выявить логические ошибки электронной таблицы. Для этого существуют автоматизированные инструменты.
- Убедитесь, что расчеты электронной таблицы работают должным образом (т. Е. Их «базовый уровень»).
- Убедитесь, что изменения в основных расчетах утверждены должным образом.
Ответственность за контроль над электронными таблицами - это общая ответственность бизнес-пользователей и ИТ-специалистов. ИТ-организация обычно заботится о предоставлении безопасного общего диска для хранения электронных таблиц и резервного копирования данных. За остальное отвечает коммерческий персонал.
Смотрите также
- Руководитель информационной службы
- Директор по информационной безопасности
- Непрерывный аудит
- Управление данными
- Аудит информационных технологий
- IT риск
- Управление ИТ-рисками
- Совет по надзору за бухгалтерским учетом публичных компаний
- Рисковать IT
- Закон Сарбейнса-Оксли
Рекомендации
- ^ COBIT 2019, Цели управления и менеджмента, стр.9
- ^ Стандарт аудита PCAOB № 5
- ^ Руководство по интерпретации SEC
- ^ «Заявление AICPA о стандартах аудита № 109» (PDF) . Архивировано из оригинального (PDF) 07.04.2008 . Проверено 1 сентября 2007 .
- Коу, Мартин Дж. «Доверительные услуги: лучший способ оценить средства управления ИТ: выполнение требований раздела 404». Бухгалтерский журнал 199.3 (2005): 69 (7).
- Чан, Салли и Стэн Лепик. «ИТ и Сарбейнс-Оксли». CMA Management 78,4 (2004): 33 (4).
- Гудвин, Билл. «ИТ должны вести по Сарбейнсу-Оксли». Computer Weekly, 27 апреля 2004 г .: стр. 5.
- Гомольский, Варвара. «Пять основных вопросов для ИТ-директоров». Computerworld, январь 2004: 42 (1).
- Хагерти, Джон. «Исследование Сарбейнса-Оксли стало фактом деловой жизни», согласно которому в 2005 г. расходы SOX на соответствие ИТ-требованиям вырастут ». VARbusiness 15 ноября 2004: 88.
- Altiris.com
- «Цели ИТ-контроля для Сарбейнса Оксли: важность ИТ в разработке, реализации и устойчивости внутреннего контроля раскрытия информации и финансовой отчетности». itgi.org . Апрель 2004 г. Институт управления ИТ. 12 мая 2005 г.
- Джонстон, Мишель. «Проведение ИТ-аудита для соответствия закону Сарбейнса-Оксли». informit.com . 17 сентября 2004 г.
- Лурье, Барри Н. «Информационные технологии и соответствие закону Сарбейнса-Оксли: что должен понимать финансовый директор». Банковский учет и финансы 17.6 (2004): 9 (5).
- Макколлум, Тим. «Семинар IIA исследует влияние Сарбейнса-Оксли на ИТ». ИТ-аудит 6 (2003 г.).
- МакКоннелл-младший, Дональд К. и Джордж Й. Бэнкс. «Как Сарбейнс-Оксли изменит процесс аудита». aicpa.org (2003).
- Мюнтер, Пол. «Оценка внутреннего контроля и независимости аудиторов согласно закону Сарбейнса-Оксли». Financial Executive 19.7 (2003): 26 (2).
- «Перспективы отчетности внутреннего контроля: ресурс для участников финансового рынка». Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Декабрь 2004 г.
- Пьяцца, Питер. «Требования к ИТ-безопасности Сарбейнса-Оксли». Управление безопасностью, июнь 2004 г .: 40 (1).
- «Раздел 404 Сарбейнса-Оксли: Обзор требований PCAOB». КПМГ. Апрель 2004 г.
- «Расходы по закону Сарбейнса-Оксли в 2004 году больше, чем ожидалось: в 2004 году расходы на соблюдение требований раздела 404 составили в среднем 4,4 миллиона долларов, как показывает исследование». InformationWeek 22 марта 2005 г.
- «Влияние Сарбейнса-Оксли на ИТ и корпоративное управление». serena.com 12 мая. 2005 г.
- Пять шагов к успеху для соответствия требованиям электронных таблиц . Неделя соответствия, июль 2006 г.
- Pcaobus.org , новый стандарт аудита внутреннего контроля финансовой отчетности PCAOB утвержден SEC.