Imagesforyou.ru

IMG FOR YOU — ИНТЕРЬЕРНАЯ ФОТОСТУДИЯ
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Дистанционный аудит системы менеджмента на соответствие стандартам ISO и не только

Дистанционный аудит системы менеджмента на соответствие стандартам ISO и не только

Пандемия коронавирусной инфекции СOVID-19 и вызванные ею ограничения побуждают многие процессы переводить в дистанционный формат. Аудиты систем менеджмента, как внешние, так и внутренние, здесь не исключение. Возникает целый ряд вопросов: возможно ли проводить такие аудиты удаленно, в каком объеме, какими документами при этом руководствоваться?

Дистанционный аудит системы менеджмента

Действительно, в ряде случаев выезд на предприятия для проведения аудитов может быть затруднен. Дистанционные аудиты (удаленные аудиты) могут стать подспорьем в этой ситуации при условии соблюдения установленных процедур.

Решение на случай форс-мажора

Международный аккредитационный форум еще в 2011 году выпустил Информационный документ IAF ID3:2011. В нем идет речь о том, как реагировать на чрезвычайные события либо обстоятельства, затрагивающие органы по аккредитации, органы по оценке соответствия и сертифицированные организации.

Под чрезвычайным понимается событие, которые находится вне контроля организации, например, война, забастовка, террористический акт, наводнение, землетрясение, пандемия и т.п. Такое событие может временно помешать органу по сертификации проводить запланированные аудиты с выездом на объект.

Пандемия вносит свои коррективы в порядок сертификации

Согласно IAF ID3:2011 в этой ситуации органу по сертификации следует провести оценку рисков, может ли сертификат быть сохранен без выездного аудита. О каких рисках идет речь? Например, риски могут быть высоки, если в ходе предыдущего аудита были выявлены критические несоответствия, либо большое количество незначительных несоответствий. Появление новых производственных линий и/или процессов на аудируемом объекте также представляют собой определенный риск.

При низком уровне риска рекомендуется применять альтернативные краткосрочные методы оценки соответствия. В частности, среди таких методов упоминается запрос информации для рассмотрения ее удаленно, на основании чего орган по сертификации принимает решение о приостановке сертификата или продлении его действия. Подчеркивается, что такой вариант может применяться только на краткосрочный период времени.

Именно этот документ служит сегодня ориентиром для аккредитационных органов, владельцев схем сертификации и органов по сертификации. Об удаленных аудитах как ответной мере SGS на распространение коронавируса COVID-19, можно прочитать здесь.

Чем руководствоваться при проведении дистанционных аудитов?

Основным отраслевым документом, регламентирующим проведение аудитов систем менеджмента в удаленном режиме, является IAF MD4:2018. Этот документ обязателен для применения в случае, если в ходе аудита используются информационно-коммуникационные технологии (ИКТ).

Согласно IAF MD4:2018: под удаленным или дистанционным аудитом понимается аудит, в ходе которого ИКТ используются для проведения мероприятий в рамках аудита и сбора свидетельств аудитором, который физически не находится на аудируемом объекте.

При этом дистанционные методы проведения аудита могут покрывать как весь объем аудита, так и решать задачи аудита лишь частично.

Практичный инструмент вне форс-мажорных обстоятельств

На самом деле, дистанционные методы проведения аудитов успешно применялись и до вспышки коронавирусной инфекции. В последнюю версию Руководства по аудиту систем менеджмента ISO 19011:2018 на проведение аудитов систем менеджмента были включены инструкции по проведению дистанционных / удаленных аудитов, т.е. такая опция допускается как применительно к внешним, так и к внутренним аудитам.

В ISO 19011:2018 дистанционные методы аудита делятся на две категории: когда аудитор удаленно взаимодействует с аудируемыми, и когда аудитор удаленно изучает систему менеджмента без помощи аудируемого.

  • Дистанционные интервью
  • Заполнение чек-листов и вопросников с помощью аудируемого
  • Проверка документации при участии аудируемого
  • Проверка документации без помощи аудируемого
  • Анализ информации без помощи аудируемого
  • Наблюдение за работой без помощи аудируемого

В рамках аудита могут быть использованы дистанционные методы наряду с методами, предполагающими физическое присутствие аудитора на объекте аудита. Звонок по телефону в смежное подразделение для получения ответа на вопрос или телеконференция с головным офисом, находящимся в другой стране – это не что иное, как применение дистанционных методов при аудите.

В компании SGS дистанционные методы в той или иной степени используются в рамках сертификационных, надзорных и ресертификационных аудитов.

  • Например, в ходе аудита по стандарту ISO 9001 в московском офисе международной корпорации необходимо проверить функцию закупок, однако менеджер по закупкам территориально базируется в ЕС. В этом случае ему не обязательно прилетать в Москву на время аудита, достаточно провести скайп-интервью, а документы переслать по электронной почте либо показать на экране онлайн-чата.
  • Другой пример — аудит труднодоступной площадки в рамках «мультисайтовой» сертификации компании с несколькими площадками. Предположим, на месторождение можно добраться только на вертолете, но в определенный период времени, в связи с нелетной погодой это не осуществимо. При этом часть аудита может быть проведена удаленно, а часть информации может быть получена при аудите более доступных площадок.

Что и как можно проверить удаленно?

Удаленный аудит системы менеджмента

Ниже перечислим элементы аудита, которые потенциально могут быть проведены дистанционно:

  • Проверка документации, записей может обеспечиваться посредством электронной почты, файлообменника, доступа к интранет-порталу и т.п. Проверка может проводиться в том числе и в режиме реального времени, когда в ходе видеосвязи документы демонстрируются аудитору (при этом у аудируемого есть возможность дать комментарии и пояснения).
  • Совещания (вводное и заключительное совещания, групповые обсуждения во время аудита и т.п.) могут осуществляться с помощью конференц-связи, включающей аудиосвязь и видеотрансляцию, а также обмен данными.
  • Интервью с персоналом могут проводиться с помощью телефонной связи, видеосвязи и др. Они должны проводиться в онлайн-режиме, хотя вопросы аудитор может отправить интервьюируемому и заранее. При этом заметки, которые аудитор делает во время интервью, сохраняются в качестве свидетельств аудита.
  • Посещение аудируемого объекта, инспекция процессов – это наиболее чувствительная часть аудита, которую может быть проблематично провести удаленно. Инструментарий здесь может включать в себя видеосъемку, фотосъемку, доступ к видеокамерам, установленным на объекте. SGS при удаленных инспекциях и аудитах применяет приложение SGS QiiQ.

Может ли удаленный аудит полностью заменить аудит с посещением объекта?

Можно ли с помощью дистанционного аудита получить информацию об операционной деятельности такого же объема и качества, как при посещении предприятия? Можно ли оценить соответствие объектов и процессов без физического присутствия аудитора на месте? Это зависит от того, какие имеются ИКТ, о каком стандарте и каких процессах идет речь, от вида деятельности и специфики предприятия.

В мире существуют определенные процедуры, говорящие о том, как проходит сертификация систем менеджмента: это всегда анализ документации и выезд непосредственно на предприятие для того, чтобы оценить, насколько реальная жизнь соответствует тому, что написано в документах.

В настоящее время существует множество способов взаимодействия аудитора с аудируемым удаленно, многое можно увидеть через веб-камеру. Но ограничиться дистанционными методами оценки, как правило, не представляется возможным.

Читайте так же:
Выделить число из ячейки excel

Аудиторы должны своими глазами убедиться в том, что два ингредиента не перепутаются, что в тот момент, когда идет фасовка, оборудование — чистое, что люди правильно одевают санитарную одежду и закрывают волосы шапочкой для того, чтобы они не попали в продукт. Оценить все это дистанционно, через интернет, бывает очень сложно, ведь это не просто документы, прописанные процедуры и записи в журналы, это — правила осуществления технологического процесса, все то, что можно увидеть только на месте.

Камера может помочь, но она не сможет предоставить нам исчерпывающую информацию, потому что, как минимум, поле ее зрения весьма ограничено. К примеру, мы видим рабочее место сотрудника, но не видим лежащие в двух шагах от него провода, через которые он может споткнуться, не можем оценить яркость освещения. Проверяя график превентивного обслуживания оборудования, аудитор не обратит внимания на то, что в нем отсутствует рельсовый кран, поскольку не подозревает о его существовании, тогда как, проходя по цеху, он мог бы его увидеть и сопоставить эти факты.

Кроме того, современные ИКТ пока не могут заменить такие органы чувств, как осязание, обоняние, вкус. Профессиональный аудитор получает информацию, задействуя все возможные каналы. Вибрация, посторонние запахи, пыль – эти факторы остаются за кадром, если аудит проводится удаленно.

На что следует обратить внимание при подготовке и проведении дистанционного аудита?

Информационная безопасность при дистанционных аудитах

Применение дистанционных методов в ходе аудита сопряжено с рядом рисков. Ниже приведем рекомендации по минимизации этих рисков:

Достоверность, полнота, объективность полученной информации

  • Обучите аудитора навыкам использования ИКТ
  • Тщательно подготовьтесь к аудиту, составляйте четкий план аудита, список необходимых документов

Информационная безопасность, конфиденциальность и защита данных

  • Не проводите аудит из публичных мест с использованием публичных сетей Wi-Fi
  • Используйте наушники либо проводите интервью и совещания в изолированной комнате
  • Не оставляйте оборудование в свободном доступе
  • Используйте пароли и инструменты с шифрованием данных
  • Применяйте антивирусные программы, своевременно обновляйте программы/приложения
  • Не ведите видео- или аудиозапись, если на то нет особого требования и разрешения
  • Удаляйте полученную информацию по окончании аудита (кроме записей, относящихся непосредственно к отчету аудитора)

Неполадки с интернет-связью, отсутствие связи в отдельных помещениях

  • Проверяйте работоспособность средств связи, наличие связи во всех помещениях, которые необходимо осмотреть во время аудита
  • Предусмотрите альтернативные средства связи (например, планшет как основное средство плюс смартфон как запасной вариант)

Дистанционный аудит: не откладываем на завтра то, что можно сделать сегодня

Цифровизация — повсеместна. Все больше бизнес-процессов выполняются удаленно. Внедрение удаленных методов проведения аудитов дает ряд преимуществ, среди которых:

  • Доступ к труднодоступным или даже закрытым объектам
  • Снижение командировочных расходов
  • Рост полезного времени аудитора

Нередко компании с разветвленной филиальной структурой исключают из программы внутренних аудитов небольшие офисы, расположенные в удаленных местах, в связи с экономической нецелесообразностью их посещения аудитором. ИКТ позволяют решить эту проблему и сделать 100% охват.

Очевидно, что с развитием информационных технологий перед нами откроются новые возможности дистанционных аудитов. Но и текущие возможности заслуживают внимания, и если вы еще не используете их, то сейчас — самое время это сделать.

Понравилась эта статья? Интересуют стандарты ISO и системы менеджмента? Подпишитесь на нашу рассылку и регулярно получайте полезную информацию об изменениях в стандартах, разъяснения от аудиторов SGS и примеры лучших практик.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 94 000 сотрудников.

Как загрузиться в режим аудита или выйти из него в Windows 10

Microsoft предлагает файл ответов Unattend.xml. Это файл на основе XML, содержащий определения и значения параметров для использования во время установки Windows. Файл можно создать с помощью диспетчера образов системы Windows. Только когда программа установки Windows 10 загружает этот файл, он загружается в аудиорежим, иначе он загрузится в режиме OOBE по умолчанию. Используйте любой из следующих методов для загрузки в режиме аудита.

Загрузитесь в режиме аудита в Windows 10 (автоматически или вручную)

  • Добавить Microsoft-Windows-Deployment | Reseal | Режим = аудит настройка файла ответов.
  • Сочетание клавиш: на экране OOBE нажмите CTRL+СДВИГ+F3.

Когда компьютер перезагружается в режиме аудита, подготовка системы (Sysprep) появится инструмент. Единственный недостаток использования сочетания клавиш заключается в том, что оно не позволяет обойти все части процесса OOBE. Это включает запуск скриптов и применение настроек файла ответов в oobeSystem этап настройки.

Загрузитесь в режиме аудита с помощью образа, настроенного для загрузки в режиме OOBE.

Вы можете использовать сочетание клавиш или смонтировать образ и добавить файл ответов с настройкой аудита и сохранить его как:

Автоматическая загрузка в режим аудита из существующего образа

Создайте новый файл ответов и добавьте Microsoft-Windows-Deployment | Reseal | Режим = аудит. Сохраните файл как Unattend.xml.

В командной строке с повышенными привилегиями выполните команду:

Dism /Mount-Image /ImageFile:C:testimagesMyImage.wim /index: /MountDir:C:testoffline

В image_index — это номер выбранного образа в WIM-файле.

Как и в предыдущем шаге, скопируйте новый файл ответов в эту папку:

Завершите изменения с помощью инструмента DISM. Используйте следующую команду:

Dism /Unmount-Image /MountDir:C:testoffline /commit

Как выйти из режима аудита в Windows 10?

Вы можете удалить файл Unattend.xml, а затем зафиксировать его с помощью инструмента DISM или просто добавить Microsoft-Windows-Deployment | Reseal | Режим = oobe настройка файла ответов.

Режим аудита не для обычных потребителей. Он предназначен либо для OEM-производителей, либо для ИТ-отделов, которым необходимо применить образ с одинаковыми настройками, драйверами и приложениями на нескольких компьютерах.

Я надеюсь, что за публикацией было легко следить, и вы смогли загрузиться в режим аудита или выйти из него в Windows 10.

Применение Аудита Windows для отслеживания деятельности пользователей

Иногда случаются события, которые требуют от нас ответить на вопрос «кто это сделал?» Такое может происходить «редко, но метко», поэтому к ответу на вопрос следует готовиться заранее.

Практически повсеместно существуют проектные отделы, бухгалтерия, разработчики и другие категории сотрудников, совместно работающие над группами документов, хранящихся в общедоступной (Shared) папке на файловом сервере или на одной из рабочих станций. Может случиться так, что кто-то удалит важный документ или директорию из этой папки, в результате чего труд целого коллектива может быть потерян. В таком случае, перед системным администратором возникает несколько вопросов:

Читайте так же:
Можно ли пользоваться яндекс диском без интернета

В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы. По умолчанию, Аудит не задействован — слежение само по себе требует определённый процент мощности системы, а если записывать всё подряд, то нагрузка станет слишком большой. Тем более, далеко не все действия пользователей могут нас интересовать, поэтому политики Аудита позволяют включить отслеживание только тех событий, что для нас действительно важны.

Система Аудита встроена во все операционные системы Microsoft Windows NT: Windows XP/Vista/7, Windows Server 2000/2003/2008. К сожалению, в системах серии Windows Home аудит спрятан глубоко, и его настраивать слишком сложно.

Что нужно настроить?

Для включения аудита зайдите с правами администратора в компьютер, предоставляющий доступ к общим документам, и выполните команду StartRungpedit.msc. В разделе Computer Configuration раскройте папку Windows Settings Security Settings Local Policies Audit Policies:

Дважды щёлкните по политике Audit object access (Аудит доступа к объектам) и выберите галочку Success. Этот параметр включает механизм слежения за успешным доступом к файлам и реестру. Действительно, ведь нас интересуют только удавшиеся попытки удаления файлов или папок. Включите Аудит только на компьютерах, непосредственно на которых хранятся отслеживаемые объекты.

Простого включения политики Аудита недостаточно, мы также должны указать, доступ к каким именно папкам требуется отслеживать. Обычно такими объектами являются папки общих (разделяемых) документов и папки с производственными программами или базами данных (бухгалтерия, склад и т.п.) — то есть, ресурсы, с которыми работают несколько человек.

Заранее угадать, кто именно удалит файл, невозможно, поэтому слежение и указывается за Всеми (Everyone). Удавшиеся попытки удаления отслеживаемых объектов любым пользователем будут заноситься в журнал. Вызовите свойства требуемой папки (если таких папок несколько, то всех их по очереди) и на закладке Security (Безопасность) → Advanced (Дополнительно) → Auditing (Аудит) добавьте слежение за субъектом Everyone (Все), его успешными попытками доступа Delete (Удаление) и Delete Subfolders and Files (Удаление подкаталогов и файлов):

Событий может журналироваться довольно много, поэтому также следует отрегулировать размер журнала Security (Безопасность), в который они будут записываться. Для
этого выполните команду Start Run eventvwr.msc. В появившемся окне вызовите свойства журнала Security и укажите следующие параметры:

На самом деле, указанные цифры не являются гарантированно точными, а подбираются опытным путём для каждого конкретного случая.

Итак, кто же удалил документы (Windows 2003/XP)?

Нажмите Start Run eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View Filter и отфильтруйте просмотр по следующим критериям:

  • Event Source:Security;
  • Category: Object Access;
  • Event Types: Success Audit;
  • Event ID: 560;

Просмотрите список отфильтрованных событий, обращая внимание на следующие поля внутри каждой записи:

  • ObjectName. Название искомой папки или файла;
  • ImageFileName. Имя программы, с помощью которой удалили файл;
  • Accesses. Набор запрашиваемых прав.

Программа может запрашивать у системы сразу несколько типов доступа — например, Delete+Synchronize или Delete+Read_Control. Значимым для нас правом является Delete.

Итак, кто же удалил документы (Windows 2008/Vista)?

Нажмите Start Run eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View Filter и отфильтруйте просмотр по следующим критериям:

  • Event Source: Security;
  • Category: Object Access;
  • Event Types: Success Audit;
  • Event ID: 4663;

Не спешите интерпретировать все удаления как злонамеренные. Эта функция зачастую используется при обычной работе программ — например, исполненяя команду Save (Сохранить), программы пакета Microsoft Office сначала создают новый временный файл, сохраняют в него документ, после чего удаляют предыдущую версию файла. Аналогично, многие приложения баз данных при запуске сначала создают временный файл блокировок (.lck), затем удаляют его при выходе из программы.

Мне приходилось на практике сталкиваться и со злонамеренными действиями пользователей. Например, конфликтный сотрудник некоей компании при увольнении с места работы решил уничтожить все результаты своего труда, удалив файлы и папки, к которым он имел отношение. События такого рода хорошо заметны — они генерируют десятки, сотни записей в секунду в журнале безопасности. Конечно, восстановление документов из Shadow Copies (Теневых Копий) или ежесуточно автоматически создаваемого архива не составляет особого труда, но при этом я мог ответить на вопросы «Кто это сделал?» и «Когда это произошло?».

Этапы

Аудиторская проверка — трудоемкий процесс, подразумевающий прохождение нескольких этапов, начиная с подготовки, заканчивая выдачей заключения и его передачей в Росстат. Отдельно рассмотрим шаги обязательного и инициативного аудита:

  1. Планирование (подготовка). Разрабатываются стратегические и тактические действия по аудиторской проверки, определяется график и программа, формируется группа аудиторов. Анализируются общие данные о деятельности предприятия в хозяйственной и финансовой сфере, а также данные о внешних и внутренних факторах.
  2. Сбор и анализ информации. На этом шаге изучается первичная документация, регистры бухучета, устав, правильность вычислений, учетная политика предприятия. Полученная информация анализируется с позиции соблюдения требований и норм. Оформляются рекомендации по устранению имеющихся недостатков, оказавших влияние на результаты работы предприятия. Готовые отчеты с указанием ошибок передаются руководителю проверяемой фирмы.
  3. Создание заключения аудиторской организации. На базе собранных данных формируется итоговый результат проверки касательно финансовой отчетности проверяемого субъекта. Оформляется заключение, которое условно делится на немодифицированное и модифицированное. Первое выдается при соответствии отчетности реальной ситуации в предприятии, а второе при выявлении значительных отклонений и невозможности предоставления доказательств об отсутствии ошибок. Мнение аудитора может быть отрицательным или с оговоркой. Также возможен отказ в его предоставлении.
  4. Передача заключения аудиторской фирмы в Росстат. С начала 2014-го все проверяемые компании обязаны передавать результаты проверки аудиторов в статистический орган. Они направляются вместе с бухотчетностью, которая требует обязательного контроля. Срок передачи до 10 суток с момента передачи отчета аудиторской фирмы и не позже 31 декабря текущего года.

По статистике предоставление отрицательного заключения или отказ от его передачи является редким случаем. В среднем мнение с оговоркой выражается в 20-25% случаев, негативное заключение выдается в 0,5%. В остальных ситуациях проверяющую компанию ожидает позитивное решение.

Читайте так же:
Можно ли вывести деньги с терминала киви

По закону аудиторская фирма обязана информировать проверяемый орган о допущенных ошибках. Владелец компании, получив информацию о нарушениях, обязан их устранить или передать проверяющим дополнительные сведения с информацией о причинах таких изменений.

Аудиторская проверка: зачем она нужна и как она проводится

К какой бы сфере не относилась деятельность вашей компании, рано или поздно потребуется аудиторская проверка . Это касается не только крупных предприятий с огромным штатом и сложной бухгалтерией, но и небольших фирм. Это важная и ответственная процедура, необходимая в первую очередь самой компании.

Понятие аудиторской проверки

Аудиторская проверка — это сбор, оценка и независимый анализ данных о ведении бухгалтерии и финансовом состоянии компании. Проведение аудиторской проверки дает владельцу бизнеса представление о том, насколько точна бухгалтерия, соответствует ли финансовая отчетность реальному положению дел и нет ли у предприятия проблем с налогами.

В каких случаях может быть назначена процедура

Аудиторская проверка может быть как обязательной, так и добровольной. Обязательную аудиторскую проверку компания должна проводить ежегодно. Она также может проводиться по решению суда. Ежегодная аудиторская проверка — это требование Федерального закона от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности». В этом нормативном акте прописаны не только условия, при которых проверка вменяется в обязанность, но и ее порядок, а также требования к лицам и организациям, которые вправе проводить аудит. Требование обязательной ежегодной аудиторской проверки относится, например, к:

  • любым АО;
  • страховым организациям;
  • компаниям, являющимся профессиональным участником рынка ценных бумаг;
  • негосударственным пенсионным или иным фондам;
  • кредитным организациям;
  • клиринговым организациям;
  • обществам взаимного страхования;
  • организаторам торговли;
  • акционерным инвестиционным фондам;
  • компаниям (за исключением органов государственной власти, органов местного самоуправления, государственных и муниципальных учреждений, государственных и муниципальных унитарных предприятий, сельскохозяйственных кооперативов, союзов этих кооперативов), выручка которых за предшествовавший отчетному год превышает 400 млн рублей или сумма активов бухгалтерского баланса по состоянию на конец предшествовавшего отчетному года превышает 60 млн рублей.

Однако заказать аудит можно и добровольно, так сказать, в профилактических целях. Нередко владельцы компаний обращаются в аудиторские компании, чтобы проверить работу собственного отдела бухгалтерии, оценить возможные финансовые риски. Эта процедура осуществляется также при изменениях в составе учредителей или смене владельца фирмы.

Аудиторскую проверку могут проводить как аудиторские компании, так и частные аудиторы. Однако для осуществления подобной деятельности любой аудитор должен сдать соответствующий экзамен и получить специальный аттестат. Если речь идет об аудиторской компании, то она обязана входить в какую-либо саморегулируемую организацию (СРО). Они контролируют добросовестность работы аудиторских компаний.

Виды аудиторских проверок

Существует определенная классификация типов аудита. В зависимости от типа проверяемого объекта, способа поверки, периодичности и т.д. условно аудит можно разделить на следующие типы:

  • банковский;
  • страховых организаций;
  • бирж, инвестиционных и внебюджетных фондов;
  • государственный.

В зависимости от направления аудит принято делить на:

  • бухгалтерский;
  • юридический;
  • налоговый и др.

В зависимости от методов проверки обычно разграничивают аудит:

  • сплошной — анализируется вся документация;
  • выборочный — анализируется определенный сегмент деятельности;
  • комбинированный — анализируется вся документация по операциям, сопряженным с неким финансовым риском, и частично — все остальное.

В зависимости от типа проверки аудит бывает:

  • камеральный — проводится в помещении исполнителя на основании предоставленной заказчиком документации;
  • фактический — проводится по месту расположения проверяемого объекта.

В зависимости от периодичности принято выделять аудит:

  • единовременный;
  • периодический.

В зависимости от характера проверки традиционно разграничивают аудит:

  • внешний — проводится независимыми аудиторами со стороны;
  • внутренний — проводится силами сотрудников компании и исключительно в интересах оптимизации ее работы.

В зависимости от обязательности проверки аудит может быть:

  • обязательный — проводится в обязательном порядке, процедура регламентируется законодательством;
  • инициативный — инициатором проверки выступает компания.

Этапы проведения аудиторской проверки

Планирование

Прежде чем начать аудиторскую проверку, нужно обсудить со специалистом ряд моментов: стратегию проведения проверки, ее методы и тип, состав команды работников, которые займутся ею (далеко не всегда хватает только одного аудитора), программу проверки и ее глубину. После заключения договора с аудиторской компанией, в котором четко прописываются сроки выполнения работы, ее объем и сумма вознаграждения, аудитор приступает к работе.

Проведение аудиторской проверки и сбор аудиторских данных

Специалист изучает учредительную документацию, а также рассматривает скорость развития компании, финансовую ситуацию на предприятии, оценивает работу бухгалтерии и кадровую политику компании, учитывая при этом отрасль, в которой работает фирма. Важная часть проверки — сбор документов, исследование финансовых отчетов и оценка выборки, а также проверка всей документации и финансовых документов на соответствие требованиям закона.

Подготовка заключения аудиторской проверки

После завершения проверки аудитор составляет аудиторское заключение. Это официальный документ, в котором отражена экспертная оценка достоверности финансовой документации предприятия, а также рекомендации по минимизированию финансовых рисков, заключение о имущественном положении предприятия и выводы о его деятельности за отчетный период.

Аудиторское заключение может быть немодифицированным или модифицированным. Немодифицированное заключение — это положительный результат проверки, не выявившей несоответствия и явных нарушений. Модифицированное заключение означает, что в документации есть недостатки. Такое заключение может содержать:

  • мнение аудитора с оговоркой;
  • отрицательное мнение;
  • отказ от выражения мнения.

Чтобы сократить время проведения аудиторской проверки, к ней следует тщательно подготовиться. Компания должна предоставить эксперту-аудитору всю организационно-распорядительную документацию, первичные документы (в частности, накладные, счета, акты выполненных работ и прочие), бухгалтерские и налоговые регистры, приходные и расходные кассовые ордеры, исправительные проводки (про этот пункт очень часто забывают, а между тем именно по этому поводу у аудитора нередко возникают вопросы). Если ваша компания уже проходила аудит, будьте готовы предоставить также все предыдущие аудиторские заключения.

Проведение аудиторской проверки требует предельной точности и сосредоточенности, высокого профессионализма, знания законодательства и особенностей бухгалтерского и налогового учета в разных сферах деятельности. Однако скорость работы аудитора зависит не только от его профессиональных качеств, но и от того, насколько хорошо компания подготовилась к проверке. Все описанные выше меры помогут вам сберечь время, а значит — и деньги.

Как заключение аудиторской проверки может сказаться на дальнейшей деятельности компании

«Работа аудитора связана с огромной ответственностью, — говорит Елена Межуева, руководитель практики «Финансовое консультирование» КСК групп. — Аудитор отвечает за истинность результатов своего заключения. На практике это означает, что если выводы и сведения, обозначенные в заключении, были неверными или заведомо ложными, из-за чего у компании-заказчика начались проблемы, она имеет полное право взыскать ущерб с аудиторской фирмы. Поэтому заказчик должен быть стопроцентно уверен в компетентности аудитора, ведь последствия неправильно или небрежно проведенной проверки могут быть очень существенными. Сегодня очень много аудиторских фирм, но я не рекомендую обращаться в первую попавшуюся или самую недорогую — вы сами понимаете, что услуги специалистов высокого класса не могут обходиться дешево. В конце концов, речь идет о репутации вашей компании.

Читайте так же:
Можно ли утапливать батареи в стену

КСК групп работает на рынке аудита уже более 20 лет и, согласно рэнкингу «Эксперт РА» за 2016 год , является одной из крупнейших аудиторско-консалтинговых компаний России. Потому мы можем предложить действительно высокий уровень сервиса — у нас на данный момент работает более 300 высококвалифицированных специалистов, компания оказывает весь спектр услуг: от аудита всех типов до помощи в поисках инвестиций, от создания действенных маркетинговых стратегий до разработки системы внутреннего контроля».

P.S. КСК групп — одна из крупнейших аудиторско-консалтинговых групп страны. Сфера деятельности компании охватывает все услуги, имеющее отношение к налогам, управлению, автоматизации, международному структурированию, маркетингу, правовым вопросам и HR.

пылесос rainbow

Аудиторская проверка может не только оптимизировать бизнес-процессы, но и способствовать успешному развитию компании в будущем.

аудиторская проверка

По итогам аудиторской проверки компания-заказчик может получить несколько вариантов оптимизации бизнес-процессов с учетом отраслевой направленности:

  • производство;
  • торговля;
  • строительство и девелопмент;
  • транспорт;
  • услуги и сервис (В2В).

Проведение бухгалтерского аудита

Проведение бухгалтерского аудита независимой консалтинговой компанией актуально, когда требуется:

  • определить текущее положение дел;
  • выявить возможные ошибки в отчетности;
  • разработать план по восстановлению системы учета;
  • упростить отношения с кредиторами, контрагентами и контролирующими органами.

инициативный аудит

При необходимости получить полную и достоверную информацию о финансово-хозяйственной деятельности компании можно провести инициативный аудит.

аудиторские компании

В крупных аудиторских компаниях можно заказать комплексный пакет услуг для различных сфер бизнеса. Это возможность сэкономить время и деньги.

комплектация пылесоса rainbow

Затраты на проверку при грамотном выборе аудиторской компании могут быть оправданы ростом прибыли компании-заказчика в несколько раз.

Почему не популярен

Несмотря на развитие и все более широкое распространение услуги, многие компании в России отказываются от проведения независимой проверки системы ИБ. Причина, как правило, заключается в том, что руководители таких компаний до сих пор не осознают истинного значения защищенности информации для стабильности бизнеса.

Они рассматривают процедуры аудита информационной безопасности как источник дополнительных немалых издержек. Между тем своевременное проведение проверки позволяет устранить уязвимости и недостатки системы, защититься от серьезных сетевых и других угроз.

Аудит локальной системы

Аудит обеспечивает наблюдение за различными событиями, затрагивающими безопасность. Отображение сис-темных событий необходимо для определения злоумышленников или попыток поставить под угрозу данные системы. Примером события, подлежащего аудиту, является неудачная попытка доступа.

Наиболее общими типами событий для аудита являются:

а) доступ к таким объектам, как файлы и папки;
б) управление учетными записями пользователей и групп;
в) вход пользователей в систему и выход из нее.

Кроме аудита событий, связанных с безопасностью, создается журнал безопасности, в котором можно просмотреть события безопасности. Просмотреть журнал безопасности можно в окне просмотра событий.

Политики аудита

Перед внедрением аудита необходимо выбрать политику аудита. Политика аудита указывает категории собы-тий для аудита, связанных с безопасностью. При первой установке Windows 2000 Professional все категории аудита выключены. Включая аудит различных категорий событий, можно создавать политику аудита, удовлетворяющую всем требованиям организации.

Для проведения аудита можно выбрать следующие категории событий:

1) Аудит событий входа в систему. Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии, что данный компьютер используется для проверки подлинности учетной записи. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. Если аудит успешных попыток входа в систему включен на контроллере домена, в журнал будет заноситься запись о каждом пользователе, прошедшем проверку на этом контроллере домена, несмотря на то, что пользователь на самом деле входит в систему на рабочей станции домена.

2) Аудит управления учетными записями. Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие:

а) создание, изменение или удаление учетной записи пользователя или группы;
б) переименование, отключение или включение учетной записи пользователя;
в) задание или изменение пароля.

Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить ау-дит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями.

3) Аудит доступа к службе каталогов. Определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL).

По умолчанию эта политика отменяет аудит для объекта групповой политики «Стандартный контроллер доме-на» и не определена для рабочих станций и серверов, на которых она не имеет смысла.

Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить ау-дит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользова-теля к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи ау-дита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.

4) Аудит входа в систему. Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, или подключиться к нему через сеть.

Политика «Аудит событий входа в систему» действует там, где размещена учетная запись, а политика «Аудит входа в систему» — там, где предпринимается попытка входа.

5) Аудит доступа к объектам. Определяет, подлежит ли аудиту событие доступа пользователя к объекту — например, к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).

Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить ау-дит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользова-теля к объекту, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL.

Читайте так же:
Можно ли подключить моноблок к телевизору

6) Аудит изменения политики. Определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

7) Аудит использования привилегий. Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом.

Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить ау-дит событий данного типа.

8) Аудит отслеживания процессов. Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту.

9) Аудит системных событий. Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности.

Если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер или рабочую станцию). После включения категории доступа к объектам можно указать для каждой группы или пользователя, для каких типов доступа проводить аудит.

Аудит событий безопасности

Аудит позволяет отслеживать и записывать события, связанные с безопасностью, такие, как попытки доступа пользователей к защищенным файлам и папкам. После включения аудита объекта в журнал безопасности Windows 2000 Professional заносятся записи при любой попытке доступа к этому объекту. При этом определяется объ-ект аудита, действия, подвергаемые аудиту, и точные типы действий для аудита. После установки аудита можно от-слеживать доступ пользователей к определенным объектам и анализировать недостатки системы безопасности. Запи-си аудита, содержащие сведения по выбранным событиям, показывают, кто выполнял какие-либо действия и кто пы-тался выполнить какие-либо неразрешенные действия.

Аудит операций с файлами и папками

Аудит операций позволяет проводить аудит файлов и папок. Это значит, что, кроме аудита доступа к объектам, имеется возможность настроить аудит операций, таких, как чтение и запись. Например, если включен аудит для операции записи в файл, в процессе записи в файл будет создан аудит операции.

Аудиты операций классифицируются аналогично аудитам объектов, и помечаются как событие № 567. Аудиты операций создаются при первом проведении операции. Только файлы и папки могут быть настроены на создание ау-дитов операций.

Задание к лабораторной работе и перечень контрольных вопросов представлены в Приложении 4, Таблица 5. 5.

Регистрация событий

В операционной системе Windows 2000 событием называется любое значительное происшествие в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение диска сервера или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы Windows 2000.

В системе Windows 2000 для просмотра системных журналов можно использовать оснастку Просмотр событий. Эту оснастку можно также запустить из окна оснастки Управление компьютером. На рис. 1 — «Окно оснастки Просмотр» событий показан пример оснастки Просмотр событий.

Рис. 1 — Окно оснастки «Просмотр»

В окне просмотра событий ведутся журналы программных, системных событий, а также событий безопасности на компьютере. Окно просмотра событий используется для просмотра журналов событий и управления ими, получения сведений о неполадках аппаратного и программного обеспечения, а также для наблюдения за событиями безопасности Windows.

С помощью оснастки Просмотр событий можно просматривать три типа стандартных (основных) журналов:

1) Журнал приложений – фиксирует события, зарегистрированные приложениями. Например текстовый редактор может зарегистрировать, в данном журнале ошибку при открытии файла;
2) Журнал системы – записывает события, которые регистрируются системными компонентами Windows 2000. Например, в системный журнал записываются такие события, как сбой в процессоре загрузки драйвера или другого системного компонента при запуске системы;
3) Журнал безопасности – содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале событий безопасности отключена.

Типы и параметры событий

В журналах регистрируются следующие типы событий:

а) Ошибка – событие регистрируется в случае возникновения серьезного события (таких как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы;

б) Предупреждение – событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение;

в) Уведомление – значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер;

г) Аудит успехов – событие, связанное с безопасностью системы. Примером такого события является успешная попытка регистрации пользователя в системе;

д) Аудит отказов – событие, связанное с безопасностью системы.

Информация о событиях содержит параметры, приведенные в таблице 1 (рисунок 10 Дополнительная информация о событии).

Таблица №1.

Параметр событияОписание
ТипТип события
ДатаДата регенерации события
ВремяВремя регистрации события
ИсточникИсточник (имя программы, системного компонента или компонента приложения), который при-вел к регистрации события
КатегорияКлассификация события по источнику, вызвавшему его появление
СобытиеИдентификатор события
ПользовательИмя учетной записи пользователя, от имени которого производились действия, вызвавшие гене-рацию события
КомпьютерКомпьютер, на котором зарегистрировано событие

Просмотр событий на другом компьютере

Для просмотра событий на другом компьютере следует добавить дополнительный экземпляр оснастки Просмотр событий:

Общая культура ИБ

Результат внутреннего аудита ИБ, который нужно воспринимать, как отдельную полноценную задачу — повышение культуры информационной безопасности у сотрудников. В ходе внутреннего аудита не следует жалеть времени на разъяснения — например,что такое фишинговые письма, как их обнаружить, или, например, как работать в интернете без риска компрометации важных для компании данных.

Существует множество историй того, как злоумышленники обошли тщательно выстроенную систему защиты с помощью элементарных приемов социальной инженерии. Методы злоумышленников постоянно совершенствуются и лучше всего, если сотрудники узнают о новых способах обмана от сотрудников отдела ИБ, а не на практике.

Внутренний аудит ИБ — это незаменимый инструмент для тех организаций, где высокий уровень безопасности — одно из главных требований.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector