Куперс

Компания ХХХ – это ИТ-компания, занимающаяся системной интеграцией, внедрением ERP-систем и ИТ-консалтингом.

В качестве объекта аудита выбраны информационные системы и ИТ-инфраструктура компании.

Целью данногоаудита является:

1. Описание текущего состояния ИТ компании.

2. Идентификация проблемных областей в части ИТ-поддержки основного бизнеса.

3. Выработка предложений и рекомендаций по дальнейшему развитию ИТ и организационным решениям.

В ходе проведения аудита был проведен опрос среди следующих лиц компании:

1. руководитель Службы ИТ,

2. руководители бизнес-подразделений,

3. рядовые сотрудники.

Базовый перечень данных для проведения стратегического ит-аудита

На сегодняшний день в компании занято около 180 сотрудников. Существует 3 бизнес-подразделения, остальные отделы – кадровая служба, служба маркетинга, бухгалтерия, отдел безопасности, ИТ-служба, хозяйственный отдел – являются службами, поддерживающими основной бизнес.

Действующие информационные системы можно разделить на 2 условные категории: «глобальные» и «локальные». «Глобальные» ИС (см. таблицу 3.2) находятся в ведении Службы ИТ, к ним (за исключением системы «1СБухгалтерия») имеетдоступкаждый сотрудник компании. «Локальные» ИС поддерживаются силами самих бизнес-подразделений и доступны только сотрудникам этих подразделений.

В качестве «локальных» ИС используются средства организации разработки (jira), wiki-приложения для создания базы знаний (Confluence), средства для храненияпроектной документации (eRoom), прочие средства совместной работы.

Таблица 3.2. Реестр действующих «глобальных» ИС
Название ИС, производитель, поддержка	Срок эксплуатации	Функциональное назначение, поддерживающие бизнес-процессы	Пользователи систем
1С Бухгалтерия, 1С, поддержка франчайзинговой компанией	С 2001 г.	Система автоматизация бухгалтерского и налогового учета и подготовки обязательной отчетности в соответствии с законодательством РФ Поддерживаемые бизнес-процессы: платежи кадровый учет налоговый учет расчет з/п	Сотрудники бухгалтерии и HR
Microsoft CRM, Microsoft, внутренняя поддержка	С 2001 г.	Система управления взаимоотношениями с клиентами Поддерживаемые бизнес-процессы: централизованное хранениеинформации о клиентах	Сейлз-менеджеры, руководители, менеджеры проектов
MS Project, Microsoft, внутренняя поддержка	С 2004 г.	Система управления проектами Поддерживаемые бизнес-процессы: проектная деятельность учет рабочего времени	Сотрудники бизнес-подразделений, менеджеры проектов, руководители, HR

Подготовленность персонала. Наличие обученных групп пользователей. Планы обучения

Подготовка сотрудников бухгалтерии по работе с продуктами 1Спроизводилась в Центре Сертифицированного Обучения.

При внедрении глобальных ИС сотрудник Службы ИТ разрабатывал краткое руководство для пользователей по данной системе и проводил обучение ключевых лиц (руководители, ведущие менеджеры и специалисты) для распространения знаний внутри структур компании.

При внедрении локальных ИС специалист, устанавливающий систему, составлял краткое руководство для пользователей и рассылал его сотрудникам.

Дальнейшее обучение происходило самостоятельно.

Планы обучения заранее не составляются, обучение происходит однократно после внедрения систем.

АО «МКД» является самой крупной аудиторской компанией Санкт-Петербурга и единственной аудиторской компанией Санкт-Петербурга, аккредитованной для проведения аудита проектов Мирового банка в России. АО «МКД» имеет опыт работы в проектах Мирового банка, начиная с 1999 года, и проводило аудиторские проверки для Всемирного банка в России и Республике Узбекистан.
АО «МКД» является общероссийским лидером аудита проектов ЕБРР в России.
АО «МКД» с 1994 года входит в состав международной сети аудиторских и бухгалтерских фирм PKF International. В составе сети более 400 офисов национальных аудиторских фирм более чем в 150 странах мира. Члены сети работают с использованием единых международных стандартов, методик и стандартов качества профессиональных услуг.
Членство в сети позволяет использовать товарный знак PKF, применять аудиторские технологии и профессиональные стандарты PKF International.
Основными конкурентными преимуществами АО «МКД» являются:

• предоставление комплексных профессиональных услуг, соответствующих российским и международным стандартам
• опыт работы с компаниями, являющимися общероссийскими лидерами, с международными компаниями и международными финансовыми организациями, включая ЕБРР и МБРР
• безупречная деловая репутация на протяжении более 20 лет оказания аудиторских услуг
• квалифицированный персонал
• высокая корпоративная культура
• современные технологии, методики и стандарты оказания аудиторских услуг
• независимая проверка качества услуг со стороны международной сети аудиторских и бухгалтерских фирм PKF International.

В своей деятельности АО «МКД» соблюдает как требования и ограничения российского законодательства, так и требования международных профессиональных стандартов. При оказании услуг АО «МКД» использует Международное руководство по аудиту PKF International, регулирующее технологию выполнения аудита, процедуры, методы и документирование во всех существенных аспектах, соответствующих Международным стандартам по аудиту.
Качество услуг АО «МКД» подтверждается независимыми проверками контроля качества со стороны:

• НП «Институт профессиональных аудиторов» (Сертификат качества аудиторских услуг № 429. Срок действия сертификата до 25.12.2018).
• Федеральная служба финансово-бюджетного надзора Территориальное управление в городе Санкт-Петербурге (Росфиннадзор, прохождение проверки апрель-май 2013г.).
• PKF International (прохождение проверки 2016 г.).

прочитано Елена Горчакова эксперт премии Правительства РФ в области качества, член Ассоциации «Институт внутренних аудиторов»

10 22/01/2020

Зачем?

Нередко ИТ для бизнеса являются «черным ящиком», заглянуть в который руководство компании пытается посредством ИТ-аудита. Это происходит, если:

• затраты на владение ИТ-комплексом организации слишком велики;

• есть проблемы с планированием бюджета на перспективное развитие ИТ;

• информационная система недостаточно функциональная;

• пользователи (менеджеры) не удовлетворены ИТ-решениями;

• поступает много жалоб на частые сбои и ограниченные возможности ИС ;

• требуется повышение качества контроля над процессами цифровизации и автоматизации;

• необходима реорганизация ИТ-блока или смена владельца компании.

Учитывая то, что ИТ-аудит не регламентируется на законодательном уровне, как, например, финансовый аудит, его деятельность в большинстве случаев не попадает в сферу СМК , сформированную в соответствии с требованиями ИСО 9001 . В то же время ИТ-аудит — это приоритетное направление развития внутреннего аудита.

ИТ-область охватывает сферы аппаратного и программного обеспечения, разнопланового технического сопровождения, процессы разработки, внедрения, сопровождения ИС и др. Сфера информационных технологий требует инфраструктурных и архитектурных решений, нуждается в управлении функциональностью, инцидентами, релизами и обращениями пользователей. Для этого нужны компетенций в области ИТ и знания различных нормативных требований.

Стандарты важны

Для управления ИТ-услугами существует ряд стандартов и рекомендаций, наиболее популярными из которых являются библиотека ITIL , методика COBIT , стандарты ИСО 20000 по менеджменту ИТ-сервисов. Жизненный цикл процесса создания автоматизированной системы регламентирован ГОСТ 34.601-90 . Каждая стадия создания АСУ и перечень документов, фиксирующих результаты работ, сформулированы в ГОСТ 34.201-89 . ИТ-процессы целесообразно реализовывать в соответствии с требованиями стандартов, так как они разрабатываются с целью упорядочения и унификации деятельности.

Например, ГОСТ 34.603-92 регламентирует опытную эксплуатацию АСУ. Но даже на стадии внедрения АСУ не все организации уделяют должное внимание опытной эксплуатации, что потом может негативно сказаться на качестве функционирования систем в ходе постоянной эксплуатации. Не говоря о других нормативных требованиях к ИТ, соблюдение которых позволит повысить управляемость ИТ и снизит затраты.

Как подготовиться к ИТ-аудиту

Рынок формирует разнообразные предложения по ИТ-аудиту: технический, инфраструктурный, комплексный, операционный, целевой, аудит информационных систем, ИТ-аудит бизнес-процессов, информационной безопасности и т.п. Аудиторы решают широкий круг вопросов в сфере ИТ.

Компании, предлагающие аудиторские услуги в области ИТ, не всегда обладают исчерпывающим набором инструментов и не всегда способны в полной мере удовлетворить потребности заказчика. Поэтому перед аудитом необходимо найти соответствующих потребностям исполнителей/аудиторов, а также определиться с запросами и ожидаемыми результатами проверки. Затем нужно сформулировать цели контрольных мероприятий в ТЗ на проведение ИТ-аудита.

Виды ИТ-аудитов

Особое внимание следует обратить на важность вопроса классификации и систематизации видов ИТ-аудита. Цель ИТ-аудита каждого из видов должна быть привязана к конкретному объекту контроля , а также взаимосвязана с периодами цикла Деминга. То есть для каждого из этапов PDCA нужен свой вид аудита. На практике же обычно все происходит не так: обширный перечень объектов контроля расположен в произвольном порядке, а виды аудиторских проверок носят общий характер. Таким образом, аудит может стать менее эффективным, а издержки на его реализацию — повыситься.

Сведем объекты контроля, этапы Деминга и наименования ИТ- аудитов в таблицу.

Классификация ИТ-аудитов позволяет определить цель, объект и сам вид аудита. К примеру, если вам нужен аудит инфраструктуры, то на таблице видно, что вам потребуется провести все четыре вида аудита на каждом из этапов цикла Деминга. . Или же, в зависимости от целей, вы можете провести только один аудит (документарную проверку или аудит соответствия какому-либо конкретному внутреннему требованию, ГОСТу), но проверить весь ИТ-комплекс.

Можно организовать аудит более глубокий, например, аудит конкретного бизнес-процесса (функциональности), либо конкретного объекта ИТ-инфраструктуры, например, загруженности сети передачи данных.

Документарный ИТ-аудит

Это проверка нормативного обеспечения ИТ-блока компании документами , записями , данными; оценка степени формализации деятельности ИТ-блока компании.

Частой проблемой компаний является низкое качество нормативной базы, согласно которой и должны осуществляться все действия персонала. Если конкретные процедуры и правила документированы недостаточно ясно или вообще не регламентированы, персоналу приходится поступать по своему разумению. Такой подход вносит хаос в организационную среду и чреват столкновением субъективных интересов.

Документарный аудит нормативной базы ИТ-блока позволяет находить многие недоработки на предварительной стадии технологических и управленческих процессов

ИТ-аудит соответствия

Такой аудит можно проводить, когда есть в наличии нормативные требования к состоянию проверяемого объекта и установлены критерии качества.

ИТ-аудит соответствия в большей степени носит технологический характер, сосредотачивая основное внимание на исполнении технических заданий, должностных инструкций, графиков эксплуатации, регламентов сопровождения, правил безопасности. Проверяется соблюдение алгоритмов взаимодействий персонала и технологий работы пользователей; соответствие информационной системы ТЗ на ее разработку и соблюдение условий ее обслуживания и диспетчеризации. Контролируется качество функционирования ИТ инфраструктурных объектов, средств связи и телефонии, а также вовлеченность ИТ в сферу облачных технологий.

Риск-ориентированный ИТ-аудит

Такой вид ИТ-аудита отличается от предыдущих двух тем, что к функциям контроля и анализа добавлены идентификация и оценка рисков. Он основывается на методиках исследования потенциальных угроз, оценки величины возможного ущерба и степени вероятности реализации негативного сценария для своевременного выявления и устранения факторов риска. Таким образом, риск-ориентированное мышление аудиторов нацелено не только на оценку тех событий, которые несут в себе потенциальные угрозы или открывающиеся резервные возможности.

При аудите функциональности ИС проверяют, к примеру, наличие дублирующих функций в различных ИС, частоту сбоев и время простоев, полноту и достоверность данных в ИС, наличие реестра доступа и надежность информационной безопасности. Проводится проверка функциональной пригодности: полноты, корректности и целесообразности выполнения определенных задач.

Аудит развития ИТ-блока

Этот аудит базируется на сведениях, полученных на трех первых стадиях ИТ-аудита. Выработать эффективные корректирующие решения, умело их организовать и результативно осуществить — непростые задачи. Поэтому их важно еще и проконтролировать.

Это направление ИТ-аудита — неотъемлемая часть реализации стратегии развития компании в условиях турбулентных изменений внешних и внутренних технологических, экономических и социальных факторов, нормативной базы и др. В этом ключе ИТ-аудит является хорошим инструментом реализации стратегических планов естественного развития компании, сопряженных как с запросами бизнеса, так и с требованиями стандартов: ISO/IEC 9001:2015; ISO/IEC 20000-1:2018; ISO/IEC 25010:2015; ISO/IEC 27001:2013; COBIT-5; ITIL и др.

При практическом применении рассматриваемой систематизации видов ИТ-аудита несогласованности между общими стандартами на системы менеджмента и стандартами на информационные технологии отпадают. Такая классификация позволит снять возможные противоречия при заказе ИТ-аудита у внешней организации, четко сформулировать предметную область проверки и ожидаемые результаты.

Организация внутреннего ИТ-аудита

Иногда еще правильнее будет сформировать собственную систему внутреннего ИТ-аудита. Это поможет экономить средства и повышать качество менеджмента ИТ. Однако здесь многое зависит от возможностей самой компании и от размеров ИТ-блока.

Крупные компании, стремящиеся организовать свой внутренний ИТ-аудит, нередко озабочены поиском кадров. Высококвалифицированный специалист должен знать все специальные направления сложноструктурированной ИТ-сферы: от вопросов качества проектирования инфраструктуры и архитектуры программно-технических комплексов до тонкостей технологического сопровождения ИС, включая вопросы информационной безопасности. ИТ-аудитор обязан разбираться во множестве нормативных документов на информационные технологии, включая ИСО 20000, COBIT, ITIL, знать тонкости современного менеджмента, передовые методики контроля, аудита, анализа и оценки.

Но такого универсального специалиста, который будет профессионально знаком с различными аспектами ИТ, специализированными стандартами и сможет решать весь комплекс поставленных перед ним задач, найти достаточно сложно. Тем более, если у руководства компании отсутствует даже понимание назначения и возможностей ИТ-аудита. Поэтому прежде всего необходимо искать хорошего аудитора.

Для того чтобы аудировать ИТ-систему, специалисту необходимо уметь структурировать контрольную среду, визуализировать ее компоненты, различать специализированные виды аудиторских проверок, предметно вовлекая на ролевой основе высококвалифицированных специалистов и технических экспертов в целевой контрольный процесс. Аудитор должен уметь находить корневые причины несоответствий, определять величину угроз и выявлять источник возможностей, а также давать рекомендации по корректировке, предупреждению и улучшению функционирования ИТ-комплекса компании.

Сама по себе возможность организационного проектирования аудиторских процедур одновременно расширяет инструментальную оснащенность ИТ-аудита компании, углубляет его специализацию и повышает его результативность. Также повышается и эффективность — в связи с сокращением издержек на реализацию аудита при решении основных задач ИТ-блока.

Использование ИТ-аудита в системе менеджмента даст возможность руководству увидеть место и роль информационных технологий в организационной структуре, а также их влияние на достижение целей организации и эффективность вложений в ИТ. ИТ-аудит позволяет получать актуальные сведения о текущем уровне развития ИТ-блока, разрабатывать мероприятия по повышению его эффективности, находить наиболее приемлемые управленческие решения, оказывая позитивное влияние на корпоративную систему менеджмента.

Мудр тот, кто знает не многое, а нужное.

Древнегреческий поэт Эсхил

Сегодня многих руководителей не устраивает тот уровень автоматизации, который сложился на предприятии. Физически и морально устаревшие информационные системы (ИС), «лоскутная» автоматизация отдельных процессов уже не в состоянии обеспечить руководящий состав оперативной и достоверной информацией, столь необходимой для принятия обоснованных и своевременных управленческих решений.

Несовершенство системы управления приводит к снижению доходности работы предприятия, неустойчивому положению на рынке товаров и услуг.

Возвращение к проблемам комплексной автоматизации предприятий вызвано заинтересованностью руководства предприятий в создании эффективной структуры управления, а в этом деле важную роль играет информационное обеспечение. Поэтому вновь на повестке дня встал вопрос о создании корпоративных информационных систем.

Но даже при успешных внедрениях руководство предприятий не всегда получает нужный эффект. Успех проекта автоматизации не означает автоматического получения существенной пользы от него. Даже если цели проекта достигнуты, они могут не соответствовать текущим требованиям производства. Такое встречается очень часто.

Проваленные проекты автоматизации, колоссальные потери времени и средств — эту картину можно наблюдать на крупных предприятиях. Почему такое происходит? Почему не спасают ни высокие технологии, ни продукты, ни авторитет известных фирм? Почему провалы есть и у готовых пакетов, и у заказных информационных систем? Почему предприятия не могут освободиться от «лоскутной» автоматизации?

Практика создания систем по модели «как есть» показала, что автоматизация без модернизации существующей системы управления не приносит желаемых результатов. Ведь использование в работе программных приложений — это не просто сокращение бумажных документов и рутинных операций, но и переход на новые формы ведения документооборота, учёта и отчётности.

Не оправдывает себя и «лоскутная» автоматизация отдельных рабочих мест рядовых исполнителей. Руководитель в результате всё равно получает данные, подготовленные вручную.

Существует иллюзия, что автоматизировать предприятие можно «малой кровью», используя собственных сотрудников, которые и так получают зарплату.

АВТОМАТИЗАЦИЯ предприятия — это создание некоторого вспомогательного производства, которое упрощает принятие решений руководством предприятия.

Практика показывает, что в сфере автоматизации, как и в сфере аудита, привлечение специалистов со стороны экономически оправдано и более эффективно.

Разрабатывающий систему сотрудник надолго оторван от своих прямых обязанностей по эксплуатации уже функционирующих программ, проект может провалиться из-за ухода ведущих специалистов. Разработка информационной системы силами самого предприятия может затянуться на годы, не принося реальной пользы высшему руководству.

Рассматривая проблему эффективности информационных систем с позиций системного анализа, можно выделить основные критерии оценки эффективности:

1. Выбор ресурсов. При выборе информационной системы необходимо исходить из того, что использование любого ресурса целесообразно только тогда, когда оно даёт положительный эффект.
2. Динамика. Следует учитывать фактор времени, важно выбрать те технологии, которые будут использоваться продолжительное время.
3. Этапность. Информационный проект следует внедрять и оценивать поэтапно, чтобы каждый шаг приносил конкретную выгоду предприятию.

Вывод: начинать нужно не с выбора программы, а с оценки потребностей и возможностей предприятия, с предпроектного обследования и создания технического проекта. Эти меры помогут определить, где вложения в информационные системы могут обеспечить наибольшую выгоду.

Зачем проводить аудит информационных систем?

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определённому критерию и предоставляющий результаты заказчику.

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Белорусский рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых -моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны, это полная замена ИС, что влечёт за собой большие капиталовложения, с другой — модернизация ИС. Последний вариант решения этой проблемы — менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.

Кроме того, возросла уязвимость ИС за счёт повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

• передача информации по сетям общего пользования;
• «информационная война» конкурирующих организаций;
• высокая (типичная для России и Беларуси) текучка кадров с низким уровнем порядочности.

По данным некоторых западных аналитических агентств, до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Всё чаще и чаще у клиентов к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:

1. Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций.)
2. Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
3. Сбои в работе ИС, как выявить и локализовать проблемы?
4. Как решаются вопросы безопасности и контроля доступа?
5. Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
6. Когда необходимо провести модернизацию оборудования и ПО?
7. Почему всё время производится закупка дополнительного оборудования?
8. Сотрудники отдела ОАСУ постоянно чему-либо учатся, есть ли в этом необходимость?
9. Какие действия предпринимать в случае возникновения внештатной ситуации?
10. Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
11. Как снизить стоимость владения ИС?
12. Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всём мире существует определённая специфическая услуга — аудит Информационной Системы.

Ради безопасности…

Как театр начинается с вешалки, так и практически любая организация начинается с охраны. Где-то обходятся отставным военным, записывающим фамилии посетителей в тетрадку, где-то — хитроумными системами безопасности, через которые и мышь не проскочит — хотя бы потому, что у неё нет карточки доступа.

Но сотрудники службы охраны обеспечивают лишь физическую безопасность, в то время как гораздо больше ресурсов приходится тратить на безопасность информационную. Масштабы этой задачи могут широко варьировать в зависимости от ценности информации, содержащейся внутри организации. Кому-то нужно просто защититься от «начинающих хакеров», а кому-то — уберечься от промышленного шпионажа со стороны конкурентов.

Чтобы убедиться в эффективности существующей или создаваемой системы информационной безопасности, лучше всего обратиться к аудитору ИС.

Специалисты нередко подчёркивают, что аудит — это всего лишь проверка системы на соответствие каким-либо требованиям — стандартам, нормативным документам и т. д. Более детальную и глубокую проверку они предпочитают называть обследованием. Это более сложная работа, которая включает в себя анализ информационных потоков, бизнес-процессов, анализ адекватности систем защиты информации, критичности информации… То есть это — глубокий анализ с привязкой к конкретной организации.

Однако мы для простоты будем называть и это аудитом ИС.

Когда целесообразно прибегать к аудиту системы информационной безопасности?

• До начала разработки системы информационной безопасности — чтобы знать текущее состояние и понимать, что делать.
• После разработки системы, но до внедрения
• После внедрения системы информационной безопасности, чтобы определить его эффективность.

К услугам аудиторов ИС рекомендуется обращаться периодически — например, раз в год. Желательно, чтобы это были независимые эксперты. Это общемировая практика, но в Беларуси её почему-то редко используют.

Евгений ЯКУШЕВСКИЙ

Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 «О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах»

В частности, для обеспечения надежного и эффективного управления рисками и внутреннего контроля рекомен­дуется рассматривать управление рисками и внутренний контроль в контексте единой интегрированной в бизнес-процессы общества системы управления рисками и внутреннего контроля, поскольку:

внутренний контроль направлен на обеспечение разумной уверенности в достижении целей обще­ства в области операционной деятельности, подготовки отчетности и соблюдения всех обязательств общества, для чего предполагает организацию управления рисками в первую очередь на процессном и операционном (транзакционном) уровнях деятельности;

управление рисками направлено на повышение эффективности деятельности общества в целом в результате интеграции управления рисками с процессами стратегического планирования, бизнес-планирования и принятия управленческих решений. Организация управления рисками начинается со стратегического уровня управления обществом, предопределяя условия организации внутреннего контроля (в том числе через установление риск-аппетита, каскадирование целей и связанных с ними рисков).

Приведены также перечень вопросов для оценки организации обществом управления рисками, внутреннего контроля, внутреннего аудита в целях определения подхода к внедрению направленных рекомендаций, перечень рекомендуемых мероприятий в целях реализации задач комитета по аудиту, перечень дополнительных аспектов, которые рекомендуется учитывать при организации работы комитета по аудиту в части обеспечения качественного внешнего аудита бухгалтерской (финансовой) отчетности общества.