В предлагаемой статье, по существу, обобщены и систематизированы взгляды на аудит электронного бизнеса при перманентном влиянии внешнего окружения на экономические субъекты, раскрыты его существенные преимущества для системы управления экономическим субъектом.
Электронный бизнес – предметная область аудита
Современный этап формирования и развития мировой рыночной системы характеризуется высокой неопределенностью и все возрастающей динамикой постоянных изменений во внешнем (коммерческом) окружении экономических субъектов. Глобальные изменения структуры мировой рыночной системы в XXI веке обусловлены изменением роли высокотехнологического сектора экономики и переходом к информационному обществу. Экономические субъекты в этих условиях становятся все более сложными и динамичными бизнес-системами. При этом усложняются как сама структура управления ими, так и обработка и передача надлежащей информации, которая становится существенной частью бизнес-процессов.
Исследования зарубежных и российских ученых [1, 2, 3, 4, 5, 10, 11 и др.] показывают, что в современных условиях конкурентными преимуществами будут обладать те бизнес-системы, которые смогут быстро создавать и доставлять результат труда (продукцию, товары, работы или услуги), соответствующий определенной потребности каждого уникального потребителя, а не абстрактным требованиям обобщенного рынка. Способность производителей совмещать индивидуальные потребительские предпочтения с производством соответствующих потребительских результатов и адекватной системой управления является решающим фактором эффективного развития таких систем.
Таким образом, основными задачами управления экономическими субъектами в этих условиях являются привлечение и удержание каждого потребителя при условии сохранения необходимого соотношения цена / качество, а также постоянное обеспечение эффективности самих бизнес-систем. Иными словами, необходима такая модель построения организационной структуры управления, которая позволяла бы бизнес-системе в целом эффективно взаимодействовать с ее внешним окружением и в особенности с ее потребителями. Особую роль в этом играют современные информационные технологии и, в частности, Интернет.
В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований внешнего окружения меняются требования, предъявляемые к программным продуктам и ИТ-сервисам (ИТ-услугам), что приводит к добавлению в их информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающие их сложность и разнородность оказывают влияние на управляемость всей информационной системой субъектов, стабильность и эффективность ее работы [7].
В то же время значительное число современных хозяйствующих субъектов, преодолевая традиционные подходы ведения финансово-хозяйственной деятельности, вступают в новый сегмент мировой рыночной системы, в т.н. электронный бизнес (Electronic business, E-business), предполагающий использование глобальных информационных сетей для преобразования и реализации своих внутренних и внешних связей, а также своих возможностей.
За относительно короткий период электронный бизнес трансформировался из EDI-систем (Electronic Data Interchange), обеспечивающих лишь электронный обмен данными, в комплексные интернет-ориентированные системы, позволяющие автоматизировать практически весь спектр взаимосвязей и отношений любого экономического субъекта с его внешним окружением. Иными словами, в современных условиях развивается сервисно-ориентированный Интернет, который реализует широкий спектр интегрированных отношений между экономическими субъектами (business-to-business, B2B), экономическими субъектами и потребителями (business-to-consumer, B2C), экономическими субъектами и правительством (business-to-administration, B2A), потребителями и правительством (consumer-to-administration, C2A).
Электронный бизнес в современных условиях развития экономики представляет собой либо дополнение к традиционной деятельности субъекта (например, реализация книг или компакт-дисков, поставляемых по договору), либо абсолютно новое направление деятельности с использованием собственного веб-сайта для поставки и продажи потребительского результата через Интернет. В последнем случае отсутствует такое понятие, как географическая сегментация, и, как следствие, снижаются многие ограничения, сопряженные с временными рамками и расстояниями между взаимодействующими субъектами. Иными словами, в электронной среде (например, в сети Интернет) не существует четкой упорядоченной географической сети поставок, которой обычно характеризуется традиционная деятельность экономических субъектов. В современных условиях не все отрасли благоприятны для ведения электронного бизнеса. В то же время, если отрасль, в которой функционирует субъект, находится под значительным влиянием электронной среды, то, как следствие, бизнес-риски этих субъектов могут быть весьма значительными по сравнению с субъектами, ведущими традиционную финансово-хозяйственную деятельность. Поэтому оценка бизнес-рисков и управление ими являются важнейшими задачами, стоящими перед этими субъектами.
И все же до настоящего времени наиболее значимыми и первоочередными задачами современных экономических субъектов, реализующих свои возможности в электронной среде, являются создание единого интегрированного ядра, окруженного специальной оболочкой, состоящей из взаимосвязанных систем снабжения, сбыта, маркетинга, сервиса, и, как следствие, осуществление перманентного контроля за ними. При этом указанные системы должны быть построены таким образом, чтобы существовала возможность их превентивного видоизменения в зависимости от условий, складывающихся в процессе функционирования этих субъектов.
Сложность указанных аспектов и постоянное усиление внимания к ним приводят к особой специализации и концентрации управленческих исследований, требующих независимого (непредвзятого) системного и комплексного подхода. Однако при этом многие проблемы в практике управления обычно оцениваются и анализируются управленческими структурами абсолютно изолированно друг от друга, не учитывается их совокупное влияние на функционирование бизнес – и ИТ-систем и их составляющих элементов, а некоторые вообще игнорируются.
В условиях же стремительно возрастающей роли современных информационных технологий профессиональный подход к управлению без непрерывных всесторонних исследований не позволяет компенсировать существенные недостатки в организации и управлении бизнес – и ИТ-процессами, а также существующими и потенциальными бизнес-рисками.
Поэтому мировая общественность признает, что в современных условиях необходима система, способная надлежащим образом проводить всесторонние исследования и вырабатывать оптимальные управленческие рекомендации для принятия своевременных и эффективных управленческих решений.
Практически незаменимым и совершенным инструментарием при осуществлении разностороннего исследования и оценке информационной инфраструктуры, принятии управленческих решений, прогнозировании развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управления этими системами является аудит. Однако при его реализации необходимо учитывать то, что информационная система и ее информационная инфраструктура, являясь по своей сути моделью бизнес-системы, в которой она функционирует, — весьма сложное и многофункциональное образование, требующее особого, кропотливого, системного и комплексного подхода к аудиторскому исследованию их состояния и функционирования.
Так как Интернет является электронной средой общего пользования, представляющей широкую возможность взаимодействия различных субъектов, то, как следствие, указанная среда влечет за собой особые риски, которые не проявляются при ведении традиционной деятельности. Широкое использование указанной среды без построения надлежащей системы внутреннего контроля, ориентированной на электронную среду, может оказать существенное влияние не только на экономический субъект в целом, но и на внутренний потенциал, а также на внешнее окружение этого субъекта.
Принимая задание на всестороннее аудиторское исследование электронной среды любого экономического субъекта, вовлеченного в электронный бизнес, как и при традиционном аудите финансовой отчетности, необходимо, прежде всего, получить надлежащие знания о внешнем (коммерческом) окружении, бизнес-процессах, информационной инфраструктуре, существующих и потенциальных бизнес – и ИТ-рисках этих субъектов. При этом следует учитывать, что уровень знаний, необходимый для понимания влияния электронной среды на функционирование любой бизнес-системы, зависит от сложности бизнеса, осуществляемого этой системой.
Если электронный бизнес является основой функционирования бизнес-системы, то, приступая к проведению аудита, аудитору необходимо понять и оценить:
- степень влияния информационных технологий на стратегию аудируемого субъекта;
- технологии, применяемые для ведения электронного бизнеса;
- навыки и знания персонала субъекта в области информационных технологий;
- бизнес – и ИТ-риски, связанные с осуществлением электронного бизнеса, а также подходы субъекта к управлению этими рисками;
- адекватность инфраструктуры безопасности и сопутствующих средств контроля субъекта условиям, диктуемым электронной средой.
В свою очередь, для получения знаний о системе внутреннего контроля, ориентированной на электронный бизнес экономического субъекта, внимание аудитора должно быть акцентировано на оценке:
- степени участия лиц, наделенных руководящими полномочиями, в решении вопросов согласования электронного бизнеса с основополагающей стратегией аудируемого субъекта;
- электронного бизнеса как нового вида деятельности субъекта;
- источников доходов аудируемого субъекта и их изменений (например, как функционирует бизнес-система — в роли основного производителя или агента по реализации потребительских результатов других субъектов);
- руководящим звеном системы управления экономическим субъектом влияния электронного бизнеса на доходы и на финансовые ресурсы этого субъекта;
- понимания руководящим звеном системы управления аудируемого субъекта бизнес – и ИТ-рисков;
- масштабов потенциальных возможностей и рисков электронного бизнеса, определенных руководством аудируемого субъекта в документально оформленной стратегии;
- обязательств руководящего звена и лиц, наделенных руководящими полномочиями, по соблюдению Корпоративного кодекса и программы защиты веб-сайта.
В то же время аудитор должен учитывать, что масштабы электронного бизнеса различных экономических субъектов неодинаковы. Так, например, электронный бизнес может быть направлен:
- лишь на предоставление сведений о самом субъекте и его деятельности, которыми могут воспользоваться третьи лица (потребители традиционных потребительских результатов, инвесторы, источники предоставления ресурсов и пр.);
- на обеспечение реализации бизнес-операций с постоянными потребителями посредством электронной среды, в частности Интернета;
- на обеспечение доступа к новым рынкам и новым потребителям путем предоставления определенной информации или обработки конкретных бизнес-операций в электронной среде (например, через Интернет);
- на обеспечение доступа к провайдерам сервера приложений (Application Service Provider — ASP);
- на создание совершенно новой модели бизнеса.
При наличии у аудируемого субъекта своего веб-сайта, даже при отсутствии у пользователей интерактивного доступа к указанному ресурсу, могут возникать проблемы как информационной безопасности, так и эффективности его функционирования.
Особенности аудита информационной безопасности электронного бизнеса
Под информационной безопасностью в данном контексте следует понимать защищенность информации и поддерживающей ее информационной системы от случайных и преднамеренных воздействий естественного или искусственного характера, наносящих ущерб владельцам или пользователям этой информации и поддерживающей ее информационной системе.
В этом случае аудитор должен провести комплексное исследование веб-сайта, что позволит выявить и оценить существующие и вероятные его недостатки, которые мешают и способны помешать в будущем его надлежащему развитию. С этой целью аудитору необходимо выявить и оценить:
- соответствие веб-сайта целевым установкам электронного бизнеса экономического субъекта;
- дизайн веб-сайта, его структуру и особенности навигации;
- контент сайта (англ. «content» — «содержание», в русском языке прижился также вариант перевода «наполнение») с позиции соответствия целевым установкам электронного бизнеса экономического субъекта и форме обратной связи с пользователями;
- проблемы маркетинга веб-сайта и стратегию его продвижения в электронной среде;
- пути посетителя веб-сайта и используемые критерии его поиска;
- запросы и заказы, сделанные за исследуемый период;
- уязвимость от внутренних и внешних угроз.
В то же время аудитор должен учитывать, что в электронном бизнесе бизнес-операции, генерированные с веб-сайта, должны быть надлежащим образом обработаны внутренними системами экономического субъекта, такими, как система бухгалтерского учета, система управления работой с потребителями, система управления запасами и система внутреннего контроля. Значительное число веб-сайтов в современных условиях практически не интегрированы с внутренними системами экономических субъектов. Поэтому применяемые ими приемы перехвата и передачи информации о бизнес-операциях, например, в систему бухгалтерского учета могут повлиять:
- на полноту и точность обработки этой информации;
- на сохранность информации;
- на определение сроков признания доходов от реализации потребительских результатов, закупок и иных операций;
- на определение, оценку и учет спорных бизнес-операций;
- на информационную безопасность.
- вероятность потери целостности информации о бизнес-процессах и бизнес-операциях, влияние которой сопряжено с отсутствием возможности их отслеживания как на бумажных, так и на электронных носителях;
- высокую вероятность рисков информационной безопасности, связанных с электронным бизнесом, включая вирусную атаку и подверженность мошенничеству со стороны потребителей и иных лиц посредством несанкционированного доступа к информации этого субъекта;
- ненадлежащую учетную политику в отношении, например, капитализации расходов на разработку и продвижение вебсайта, неправильной трактовки сложных договорных отношений, рисков передачи прав собственности на потребительский результат, перевода иностранной валюты, резервов на гарантийное обслуживание и возврата продукции и товаров, а также проблем признания доходов;
- несоблюдение требований нормативно-правового регулирования финансово-хозяйственной деятельности и, в частности, электронного бизнеса;
- неспособность обеспечения обязательности требований договоров;
- излишнее доверие к методам ведения электронного бизнеса;
- сбой или отказ систем и элементов информационных инфраструктур.
Дальнейший и бурный рост числа экономических субъектов, внедряющих современные информационные технологии или полностью ориентированных на электронный бизнес, обусловлен, прежде всего, тем, что при ведении финансово-хозяйственной деятельности в современной электронной среде значительно снижаются транзакционные издержки, т.е. издержки, сопряженные с переходом прав собственности на потребительский результат.
Обычно руководство и лица, наделенные руководящими полномочиями экономического субъекта, вовлеченного в электронный бизнес, оценивают бизнес – и ИТ-риски посредством внедрения системы информационной безопасности, создания надлежащей ее инфраструктуры и применения надлежащих средств контроля, которые направлены:
- на идентификацию и проверку подлинности потребителей и поставщиков;
- на обеспечение целостности информации о бизнес-операциях;
- на получение оплаты или обеспечения в отношении кредитных средств потребителей;
- на установку протоколов конфиденциальности и защиты информации.
Аудитор должен понимать, что надлежащим образом функционирующая система информационной безопасности и внутреннего контроля, ориентированная именно на электронный бизнес, может уменьшить влияние значительного числа бизнес – и ИТ-рисков. Однако, приступая к аудиторскому исследованию указанной системы, ему необходимо, прежде всего, учесть, что особое значение в электронном бизнесе имеют проблемы, связанные с сохранением целостности самих контрольных процедур в перманентно меняющейся электронной среде, а также обеспечением доступа к соответствующей информации (например, учетным записям) для удовлетворения потребности как самого субъекта, так и аудитора.
Независимо от размера экономического субъекта и специфики его информационной системы работы по обеспечению информационной безопасности обычно включают следующие этапы:
- формирование политики информационной безопасности;
- определение границ (масштабов) системы управления информационной безопасностью и постановка конкретных целевых установок ее создания;
- оценка и управление рисками;
- выбор контрмер, обеспечивающих надлежащий режим информационной безопасности;
- аудит системы управления информационной безопасностью.
В свою очередь, каждый из перечисленных этапов имеет свой алгоритм реализации. Так, например, при формировании политики информационной безопасности аудитору необходимо:
- определить используемые нормативно-правовые документы, руководства и стандарты в области информационной безопасности, а также основные положения политики;
- определить подходы к управлению бизнес – и ИТ-рисками;
- структурировать контрмеры по уровням и пр.
При определении границ (масштаба) системы управления информационной безопасностью и постановке целевых установок ее создания руководящее звено системы управления экономическим субъектом должно сформировать документ, отражающий границы системы информационной безопасности, ресурсы, подлежащие защите, и систему критериев оценки их ценности.
На этапе оценки и управления бизнес-и ИТ-рисками необходимо, прежде всего, поставить конкретные задачи их оценки и обосновать требования к самой методике этой оценки. При этом выбор той или иной методики зависит от уровня требований, предъявляемых в экономическом субъекте к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности контрмер. Кроме того, необходимо разработать основополагающую стратегию управления рисками разных классов. При этом в современных условиях обычно используют несколько подходов:
- уменьшение риска посредством простейших контрмер (смена паролей, снижающая несанкционированный доступ к информации);
- уклонение от риска, например, посредством вынесения веб-сервера экономического субъекта за пределы локальной сети;
- изменение характера риска, например, путем страхования оборудования от стихийных бедствий и пр.;
- принятие риска, который остается после принятия контрмер.
В соответствии с выбранной стратегией управления рисками необходимо определить комплекс контрмер, структурированных по уровням (организационному, аппаратно-программному и пр.), а также отдельным аспектам информационной безопасности.
Аудит системы управления информационной безопасностью осуществляется с целью проверки соответствия выбранных контрмер декларированным в политике безопасности целям.
Основными целевыми установками указанного направления аудиторского исследования являются:
- исследование и анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ИТ-ресурсов;
- оценка текущего уровня защищенности информационной системы аудируемого субъекта;
- локализация узких мест в системе защиты;
- оценка соответствия информационной системы требованиям стандартов в области информационной безопасности;
- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов информационной безопасности.
Однако применение аудита только при исследовании контрмер сужает его возможности. Следует отметить, что надлежащий эффект может дать только комплексный и системный подход к аудиту электронного бизнеса в целом, его бизнес – и информационной системы. При этом аудит информационной безопасности может являться лишь элементом комплексного аудита электронного бизнеса любого экономического субъекта.
Отличительной особенностью выполнения аудита информационной безопасности является несколько иная точка зрения на сбор и обработку сведений об электронной среде аудируемого субъекта. Так, например, при определении границ (масштабов) предстоящего аудита аудитору необходимо учесть:
- перечень обследуемых физических, программных и информационных ресурсов;
- помещения, попадающие в границы обследования;
- организационные (нормативно-правовые, процедурные и административные), физические, аппаратно-программные и прочие аспекты обеспечения информационной безопасности и их приоритеты.
Осуществляя сбор сведений об экономическом субъекте, аудитору следует помнить, что компетентные выводы относительно положения дел в субъекте с информационной безопасностью, а тем более адекватные рекомендации по ее оптимизации могут быть осуществлены только при условии наличия всего массива надлежащих исходных данных, необходимых для анализа и оценки.
Так как обеспечение информационной безопасности — комплексный и системный процесс, требующий четкой организации и дисциплины, он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся безопасностью. Поэтому аудитору, прежде всего, необходимо получить знания об организационных структурах пользователей информационных технологий и обслуживающих их ИТ-подразделений.
Осуществляя в ходе сбора исходной информации интервьюирование ответственных и наделенных руководящими полномочиями лиц аудируемого субъекта, аудитор должен получить следующие сведения:
- о владельцах информации;
- о пользователях (потребителях) информации;
- о провайдерах услуг;
- о характере и путях предоставления услуг (сервисов) конечным потребителям;
- об основных видах функционирующих приложений;
- о количестве и видах пользователей, использующих те или иные приложения;
- о существующих компонентах (элементах) информационной системы;
- о функциональности отдельных компонентов информационной системы;
- о масштабе и границах информационной системы;
- о входах в информационную систему;
- о взаимодействии с другими системами (в частности, с системой внутреннего контроля);
- о каналах связи при взаимодействии с другими системами аудируемого субъекта;
- о каналах связи между компонентами информационной системы;
- о протоколах взаимодействия;
- об аппаратно-программных платформах, используемых в информационной системе.
Кроме перечисленных сведений, аудитору необходимо получить от аудируемого субъекта:
- структурные и функциональные схемы;
- схемы информационных потоков;
- описание комплекса аппаратных средств информационной инфраструктуры;
- описание автоматизированных функций (в т.ч. контрольных);
- описание основных технических решений;
- проектную и рабочую документацию на информационную систему;
- описание структуры программного обеспечения.
Получение знаний по указанным аспектам не должно заканчиваться и при проведении аудита по существу проблем информационной безопасности.
После подготовки информационной базы для исследования аудиторы переходят к анализу собранных сведений. С этой целью международная практика и многолетний опыт рекомендуют три подхода, которые некоторым образом отличаются друг от друга.
Первый подход основан на использовании существующих стандартов информационной безопасности, которые определяют некий базовый набор требований для широкого класса информационных технологий и разрабатываются на основе передового мирового опыта в указанной области знаний. Аудитор, опираясь на положения стандартов и полученные сведения о субъекте, должен надлежащим образом определить адекватный набор требований, соответствие которым необходимо обеспечить для конкретной информационной системы. Указанный подход позволяет при минимальных затратах вырабатывать адекватные управленческие рекомендации по совершенствованию информационной безопасности в каждом конкретном случае. Основным недостатком этого подхода является отсутствие параметров, характеризующих режим информационной безопасности. При таком подходе можно упустить из поля зрения специфические для конкретной информационной системы классы потенциальных и даже существующих угроз.
Второй подход основан на использовании в аудиторском исследовании существующих методов анализа бизнес – и ИТ-рисков, учитывающих индивидуальность каждого аудируемого субъекта, его информационной системы, среды ее функционирования и существующие, а также потенциальные угрозы безопасности. Данный подход является наиболее трудоемким и требует от аудитора привлечения к исследованию наиболее компетентных в этой области специалистов-экспертов.
Третий подход — комбинированный, предполагающий использование базового набора требований безопасности, определяемого стандартами, расширяемого дополнительными требованиями, учитываемыми при использовании метода анализа рисков.
Указанный подход, хотя и намного проще второго (т.к. основой его являются требования безопасности, определенные стандартами), но в то же время лишен недостатка первого подхода, связанного с тем, что требования стандартов практически не учитывают индивидуальности систем конкретного экономического субъекта.
При существовании повышенных требований к информационной безопасности наиболее приемлемым является третий подход к аудиторскому исследованию. В данном случае аудитору наряду с базовыми требованиями стандартов необходимо надлежащим образом исследовать:
- бизнес – и ИТ-процессы с позиций информационной безопасности;
- ресурсы аудируемого субъекта и их ценность;
- существующие и потенциальные угрозы информационной безопасности;
- уязвимость (слабые места) существующей у субъекта защиты информации.
При этом все ресурсы необходимо исследовать с позиции оценки угроз, т.е. воздействия вероятных или спланированных действий внутренних или внешних злоумышленников, а также различных нежелательных событий естественного происхождения.
В свою очередь, ценность (важность) ресурса, как правило, определяется величиной ущерба, наносимого в случае нарушения информационной безопасности. На практике обычно рассматривают следующие виды ущерба:
- данные были изменены, удалены или стали недоступны;
- аппаратно-программные средства были разрушены или повреждены;
- нарушена целостность программного обеспечения и пр.
Осуществляя аудиторское исследование информационной безопасности, аудитору необходимо выяснить, может ли быть нанесен ущерб аудируемому субъекту в результате успешного прохождения следующих видов угроз:
- удаленные или локальные атаки на ИТ-ресурсы;
- стихийные бедствия;
- ошибки, искажения или преднамеренные действия ИТ-персонала;
- сбои в работе информационных технологий, связанные с программным обеспечением или неисправностями аппаратных средств.
Сама оценка рисков может быть осуществлена с использованием как качественных, так и количественных шкал. Аудитору необходимо правильно их идентифицировать и проранжировать в соответствии со степенью их критичности для конкретного аудируемого субъекта. На основе проведенного исследования и оценки рисков вырабатываются адекватные им мероприятия (контрмеры) по их снижению до приемлемого уровня. В каждом конкретном случае рекомендации должны быть конкретными и применимыми к исследуемой информационной системе. Кроме того, указанные рекомендации необходимо обосновать экономически. Следует помнить, что контрмеры по защите организационного уровня должны иметь приоритет над аппартно-программными методами защиты. В то же время обязательной составляющей цикла аудита информационной безопасности является периодическая проверка соответствия реализованного по результатам аудирования режима безопасности политике безопасности и установленным критериям.
В заключение следует отметить, что проведенные исследования позволяют лишь обозначить возможность расширения услуг, оказываемых современными высокопрофессиональными аудиторами. При этом автор не претендует на полное раскрытие возможностей аудита электронного бизнеса, проблемы которого практически не охвачены современным аудиторским сообществом и требуют более полных и всесторонних исследований.
Список литературы
- Андерсен, Бьерн. Бизнес-процессы. Инструменты совершенствования / Бьерн Андерсен. — 2-е изд. — М.: РИА «Стандарты и качество», 2004. — 272 с.
- Берн, Р. Дж. Эффективное использование результатов маркетинговых исследований: Как принимать и осуществлять на практике наиболее оптимальные решения / Р. Дж. Берн; пер. с англ. — Днепропетровск: Баланс Бизнес Букс, 2005. — 272 с.
- Булыга, Р.П. Аудит бизнеса. Практика и проблемы развития: монография / Р.П. Булыга, М.В. Мельник; под ред. Р.П. Булыги. — М.: ЮНИТИ-ДАНА, 2013. — 263 с.
- Джордж, С. Всеобщее управление качеством: стратегии и технологии, применяемые сегодня в самых успешных компаниях (TQM) / С. Джордж, А. Ваймарскирх. — СПб.: Виктория-плюс, 2002. — 256 с.
- Друкер, П. Эффективное управление / П. Друкер; пер. с англ. М. Котельниковой. — М.: ООО «Издательство Астрель»: ООО «Издательство АСТ»: ЗАО НПП «Ермак», 2004. — 284 с.
- Котлер, Ф. Основы маркетинга / Ф. Котлер, Г. Армстронг, Д. Сондерс, В. Вонг; пер. с англ. — М.: Издат. дом «Вильямс», 2001. — 1056 с.
- Cobit 4.1. Методология. Цели контроля. Руководство по управлению. Модели зрелости процессов: российское издание / пер. с англ. И. А. Вдовина. — М.: Аудит и контроль информационных систем, 2008.
- Ситнов, А.А. Особенности аудита информационных инфраструктур // Аудитор. — 2011. — № 11 (201). — С. 26—38.
- Ситнов, А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. — 2012. — № 6. — С. 44—56.
- Ситнов, А.А. Аудит состояния информационной инфраструктуры // Аудитор. — 2012. — № 12 (214). — С. 16—21.
- Ситнов, А.А. Инструментальные средства управления и адаптации экономических систем на основе операционного бизнеса: монография / А.А. Ситнов, А.И. Уринцов. — М.: Издат. центр ЕАОИ, 2013. — 512 с.