Естественно, что при такой ситуации, когда информационные системы имеют огромное значение, они сами являются объектом очень пристального внимания.

Вопросу аудита и внутреннего контроля за информационными системами посвящено несколько зарубежных стандартов аудита и специальный российский стандарт, посвященный этому вопросу: "Аудит в условиях компьютерной обработки данных". Там достаточно детально рассматривается, каким образом трансформируется практика проверок в организациях, где компьютерная обработка данных охватывает все основные циклы работ, что в банках является повсеместным явлением и как организовать и технологически осуществить проверку информационных систем.

При проведении проверки информационных систем она должна быть направлена на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь. Рассмотрим конкретные составляющие этих трех блоков.

С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:

отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;

степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования и дисковые массивы;

физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может быть причиной несанкционированных действий;

маштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более или менее длительного использования;

достаточность мощности технических средств для обработки данных в организации, так как может сложиться ситуация, когда растущий объем операций будет неадекватен техническим возможностям эксплуатируемых систем;

соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.

В части контроля за программным обеспечением регулярной проверке подлежит:

лицензионная чистота программного обеспечения, так как помимо юридических проблем, при отсутствии лицензий, сопровождение программных продуктов производителями не осуществляется, и это может привести к серьезным сбоям в их работе;

логический доступ к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, включающая многоуровневую систему доступа пользователей к данным, приложениям и отдельным операциям, предотвращающую несанкционированные действия и ограничивающую доступ к конфиденциальной информации;

система протоколирования всех действий пользователей в информационных системах, которая направлена на возможность оперативного контроля и проведения внутренних расследований;

надежность системного программного обеспечения и используемой СУБД (системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;

достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;

наличие верификации (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;

корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя, такие, как расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация;

корректность справочных данных, используемых при различных расчетах и операциях в информационных системах, таких, как курсы валют, процентные ставки, банковские идентификационные коды.

Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:

общая структура служб Информационных Технологий (ИТ) и ее соответствие поставленным задачам;

существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;

регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;

оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;

технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующего требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ персонала (при собственной разработке);

технологии проведения отдельных операций с точки зрения их соответствия регламентам, политики информационной безопасности, удобства и эффективности их автоматизации;

технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;

наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий, резервной вычислительной площадки и возможности быстрого восстановления данных.

Все эти факторы в современном банке имеют огромное значение и соответственно трансформируются в задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. С другой стороны, это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции.