Особенности аудита электронного бизнеса

Теория аудита,...

Автор:
Источник: Журнал “АУДИТОР” №7-2013
Опубликовано: 15 Августа 2013

В предлагаемой статье, по существу, обобщены и систематизированы взгляды на аудит элект­ронного бизнеса при перманентном влиянии внешнего окружения на экономические субъекты, рас­крыты его существенные преимущества для системы управления экономическим субъектом.

Электронный бизнес – предметная область аудита

Современный этап формирования и раз­вития мировой рыночной системы харак­теризуется высокой неопределенностью и все возрастающей динамикой постоян­ных изменений во внешнем (коммерческом) окружении экономических субъектов. Гло­бальные изменения структуры мировой рыночной системы в XXI веке обусловлены изменением роли высокотехнологического сектора экономики и переходом к информа­ционному обществу. Экономические субъ­екты в этих условиях становятся все более сложными и динамичными бизнес-система­ми. При этом усложняются как сама струк­тура управления ими, так и обработка и пе­редача надлежащей информации, которая становится существенной частью бизнес-процессов.

Исследования зарубежных и российских ученых [1, 2, 3, 4, 5, 10, 11 и др.] показыва­ют, что в современных условиях конкурент­ными преимуществами будут обладать те бизнес-системы, которые смогут быстро создавать и доставлять результат труда (продукцию, товары, работы или услуги), соответствующий определенной потреб­ности каждого уникального потребителя, а не абстрактным требованиям обобщен­ного рынка. Способность производителей совмещать индивидуальные потребитель­ские предпочтения с производством соот­ветствующих потребительских результатов и адекватной системой управления являет­ся решающим фактором эффективного раз­вития таких систем.

Таким образом, основными задачами управления экономическими субъектами в этих условиях являются привлечение и удержание каждого потребителя при ус­ловии сохранения необходимого соотноше­ния цена / качество, а также постоянное обеспечение эффективности самих биз­нес-систем. Иными словами, необходима такая модель построения организационной структуры управления, которая позволя­ла бы бизнес-системе в целом эффективно взаимодействовать с ее внешним окруже­нием и в особенности с ее потребителями. Особую роль в этом играют современные информационные технологии и, в частно­сти, Интернет.

В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований внешнего окружения меняются требования, предъявляемые к программным продук­там и ИТ-сервисам (ИТ-услугам), что при­водит к добавлению в их информацион­ную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающие их сложность и разнородность оказывают влияние на управ­ляемость всей информационной системой субъектов, стабильность и эффективность ее работы [7].

В то же время значительное число со­временных хозяйствующих субъектов, пре­одолевая традиционные подходы ведения финансово-хозяйственной деятельности, вступают в новый сегмент мировой ры­ночной системы, в т.н. электронный бизнес (Electronic business, E-business), предполага­ющий использование глобальных информа­ционных сетей для преобразования и реали­зации своих внутренних и внешних связей, а также своих возможностей.

За относительно короткий период элек­тронный бизнес трансформировался из EDI-систем (Electronic Data Interchange), обе­спечивающих лишь электронный обмен данными, в комплексные интернет-ориенти­рованные системы, позволяющие автомати­зировать практически весь спектр взаимо­связей и отношений любого экономического субъекта с его внешним окружением. Иными словами, в современных условиях развива­ется сервисно-ориентированный Интернет, который реализует широкий спектр интег­рированных отношений между экономи­ческими субъектами (business-to-business, B2B), экономическими субъектами и потре­бителями (business-to-consumer, B2C), эко­номическими субъектами и правительством (business-to-administration, B2A), потребителями и правительством (consumer-to-administration, C2A).

Электронный бизнес в современных ус­ловиях развития экономики представляет собой либо дополнение к традиционной дея­тельности субъекта (например, реализация книг или компакт-дисков, поставляемых по договору), либо абсолютно новое направ­ление деятельности с использованием соб­ственного веб-сайта для поставки и про­дажи потребительского результата через Интернет. В последнем случае отсутствует такое понятие, как географическая сегмен­тация, и, как следствие, снижаются многие ограничения, сопряженные с временными рамками и расстояниями между взаимодействующими субъектами. Иными слова­ми, в электронной среде (например, в сети Интернет) не существует четкой упорядо­ченной географической сети поставок, ко­торой обычно характеризуется традицион­ная деятельность экономических субъектов. В современных условиях не все отрасли благоприятны для ведения электронного бизнеса. В то же время, если отрасль, в ко­торой функционирует субъект, находит­ся под значительным влиянием электрон­ной среды, то, как следствие, бизнес-риски этих субъектов могут быть весьма значи­тельными по сравнению с субъектами, ве­дущими традиционную финансово-хозяй­ственную деятельность. Поэтому оценка бизнес-рисков и управление ими являются важнейшими задачами, стоящими перед этими субъектами.

И все же до настоящего времени наибо­лее значимыми и первоочередными задача­ми современных экономических субъектов, реализующих свои возможности в элект­ронной среде, являются создание единого интегрированного ядра, окруженного спе­циальной оболочкой, состоящей из взаимо­связанных систем снабжения, сбыта, марке­тинга, сервиса, и, как следствие, осуществ­ление перманентного контроля за ними. При этом указанные системы должны быть построены таким образом, чтобы существо­вала возможность их превентивного видо­изменения в зависимости от условий, скла­дывающихся в процессе функционирования этих субъектов.

Сложность указанных аспектов и посто­янное усиление внимания к ним приводят к особой специализации и концентрации управленческих исследований, требующих независимого (непредвзятого) системного и комплексного подхода. Однако при этом многие проблемы в практике управле­ния обычно оцениваются и анализируются управленческими структурами абсолютно изолированно друг от друга, не учитывает­ся их совокупное влияние на функциониро­вание бизнес – и ИТ-систем и их составляю­щих элементов, а некоторые вообще игно­рируются.

В условиях же стремительно возрас­тающей роли современных информацион­ных технологий профессиональный подход к управлению без непрерывных всесторон­них исследований не позволяет компенсиро­вать существенные недостатки в организа­ции и управлении бизнес – и ИТ-процессами, а также существующими и потенциальными бизнес-рисками.

Поэтому мировая общественность при­знает, что в современных условиях необхо­дима система, способная надлежащим обра­зом проводить всесторонние исследования и вырабатывать оптимальные управленчес­кие рекомендации для принятия своевре­менных и эффективных управленческих ре­шений.

Практически незаменимым и совершен­ным инструментарием при осуществлении разностороннего исследования и оценке информационной инфраструктуры, при­нятии управленческих решений, прогно­зировании развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управ­ления этими системами является аудит. Однако при его реализации необходимо учитывать то, что информационная систе­ма и ее информационная инфраструктура, являясь по своей сути моделью бизнес-си­стемы, в которой она функционирует, — весьма сложное и многофункциональное образование, требующее особого, кропот­ливого, системного и комплексного подхода к аудиторскому исследованию их состояния и функционирования.

Так как Интернет является электронной средой общего пользования, представляю­щей широкую возможность взаимодействия различных субъектов, то, как следствие, указанная среда влечет за собой особые рис­ки, которые не проявляются при ведении традиционной деятельности. Широкое ис­пользование указанной среды без построе­ния надлежащей системы внутреннего конт­роля, ориентированной на электронную сре­ду, может оказать существенное влияние не только на экономический субъект в це­лом, но и на внутренний потенциал, а также на внешнее окружение этого субъекта.

Принимая задание на всестороннее ауди­торское исследование электронной среды любого экономического субъекта, вовлечен­ного в электронный бизнес, как и при тра­диционном аудите финансовой отчетности, необходимо, прежде всего, получить над­лежащие знания о внешнем (коммерческом) окружении, бизнес-процессах, информа­ционной инфраструктуре, существующих и потенциальных бизнес – и ИТ-рисках этих субъектов. При этом следует учитывать, что уровень знаний, необходимый для пони­мания влияния электронной среды на функ­ционирование любой бизнес-системы, зави­сит от сложности бизнеса, осуществляемого этой системой.

Если электронный бизнес является осно­вой функционирования бизнес-системы, то, приступая к проведению аудита, аудитору необходимо понять и оценить:

  • степень влияния информационных тех­нологий на стратегию аудируемого субъекта;
  • технологии, применяемые для ведения электронного бизнеса;
  • навыки и знания персонала субъекта в области информационных технологий;
  • бизнес – и ИТ-риски, связанные с осу­ществлением электронного бизнеса, а также подходы субъекта к управлению этими рис­ками;
  • адекватность инфраструктуры безо­пасности и сопутствующих средств контроля субъекта условиям, диктуемым электронной средой.

В свою очередь, для получения знаний о системе внутреннего контроля, ориенти­рованной на электронный бизнес экономиче­ского субъекта, внимание аудитора должно быть акцентировано на оценке:

  • степени участия лиц, наделенных ру­ководящими полномочиями, в решении во­просов согласования электронного бизнеса с основополагающей стратегией аудируемо­го субъекта;
  • электронного бизнеса как нового вида деятельности субъекта;
  • источников доходов аудируемого субъ­екта и их изменений (например, как функционирует бизнес-система — в роли основно­го производителя или агента по реализации потребительских результатов других субъ­ектов);
  • руководящим звеном системы управ­ления экономическим субъектом влияния электронного бизнеса на доходы и на финан­совые ресурсы этого субъекта;
  • понимания руководящим звеном систе­мы управления аудируемого субъекта биз­нес – и ИТ-рисков;
  • масштабов потенциальных возможно­стей и рисков электронного бизнеса, опре­деленных руководством аудируемого субъ­екта в документально оформленной стра­тегии;
  • обязательств руководящего звена и лиц, наделенных руководящими полномо­чиями, по соблюдению Корпоративного ко­декса и программы защиты веб-сайта.

В то же время аудитор должен учиты­вать, что масштабы электронного бизнеса различных экономических субъектов неоди­наковы. Так, например, электронный бизнес может быть направлен:

  • лишь на предоставление сведений о са­мом субъекте и его деятельности, которыми могут воспользоваться третьи лица (потре­бители традиционных потребительских ре­зультатов, инвесторы, источники предостав­ления ресурсов и пр.);
  • на обеспечение реализации бизнес-операций с постоянными потребителями посредством электронной среды, в частности Интернета;
  • на обеспечение доступа к новым рын­кам и новым потребителям путем предо­ставления определенной информации или обработки конкретных бизнес-операций в электронной среде (например, через Ин­тернет);
  • на обеспечение доступа к провайдерам сервера приложений (Application Service Provider — ASP);
  • на создание совершенно новой модели бизнеса.

При наличии у аудируемого субъекта своего веб-сайта, даже при отсутствии у пользователей интерактивного доступа к указанному ресурсу, могут возникать про­блемы как информационной безопасности, так и эффективности его функционирования.

Особенности аудита информационной безопасности электронного бизнеса

Под информационной безопасностью в данном контексте следует понимать защи­щенность информации и поддерживающей ее информационной системы от случайных и преднамеренных воздействий естествен­ного или искусственного характера, нанося­щих ущерб владельцам или пользователям этой информации и поддерживающей ее ин­формационной системе.

В этом случае аудитор должен провес­ти комплексное исследование веб-сайта, что позволит выявить и оценить существующие и вероятные его недостатки, которые меша­ют и способны помешать в будущем его над­лежащему развитию. С этой целью аудитору необходимо выявить и оценить:

  • соответствие веб-сайта целевым уста­новкам электронного бизнеса экономическо­го субъекта;
  • дизайн веб-сайта, его структуру и осо­бенности навигации;
  • контент сайта (англ. «content» — «со­держание», в русском языке прижился так­же вариант перевода «наполнение») с по­зиции соответствия целевым установкам электронного бизнеса экономического субъ­екта и форме обратной связи с пользовате­лями;
  • проблемы маркетинга веб-сайта и стра­тегию его продвижения в электронной среде;
  • пути посетителя веб-сайта и использу­емые критерии его поиска;
  • запросы и заказы, сделанные за иссле­дуемый период;
  • уязвимость от внутренних и внешних угроз.

В то же время аудитор должен учиты­вать, что в электронном бизнесе бизнес-операции, генерированные с веб-сайта, должны быть надлежащим образом об­работаны внутренними системами эконо­мического субъекта, такими, как система бухгалтерского учета, система управления работой с потребителями, система управ­ления запасами и система внутреннего контроля. Значительное число веб-сайтов в современных условиях практически не интегрированы с внутренними систе­мами экономических субъектов. Поэтому применяемые ими приемы перехвата и пе­редачи информации о бизнес-операциях, например, в систему бухгалтерского учета могут повлиять:

  • на полноту и точность обработки этой информации;
  • на сохранность информации;
  • на определение сроков признания до­ходов от реализации потребительских ре­зультатов, закупок и иных операций;
  • на определение, оценку и учет спорных бизнес-операций;
  • на информационную безопасность.
Как было отмечено ранее, руководство любого экономического субъекта посто­янно сталкивается со множеством бизнес – и ИТ-рисков, связанных с ведением элект­ронного бизнеса. К таким рискам можно от­нести:
  • вероятность потери целостности инфор­мации о бизнес-процессах и бизнес-операци­ях, влияние которой сопряжено с отсутстви­ем возможности их отслеживания как на бумажных, так и на электронных носителях;
  • высокую вероятность рисков информа­ционной безопасности, связанных с элект­ронным бизнесом, включая вирусную атаку и подверженность мошенничеству со сторо­ны потребителей и иных лиц посредством несанкционированного доступа к информа­ции этого субъекта;
  • ненадлежащую учетную политику в отношении, например, капитализации рас­ходов на разработку и продвижение веб­сайта, неправильной трактовки сложных до­говорных отношений, рисков передачи прав собственности на потребительский резуль­тат, перевода иностранной валюты, резер­вов на гарантийное обслуживание и возврата продукции и товаров, а также проблем при­знания доходов;
  • несоблюдение требований нормативно-правового регулирования финансово-хозяйственной деятельности и, в частности, элект­ронного бизнеса;
  • неспособность обеспечения обязатель­ности требований договоров;
  • излишнее доверие к методам ведения электронного бизнеса;
  • сбой или отказ систем и элементов ин­формационных инфраструктур.

Дальнейший и бурный рост числа эконо­мических субъектов, внедряющих современ­ные информационные технологии или пол­ностью ориентированных на электронный бизнес, обусловлен, прежде всего, тем, что при ведении финансово-хозяйственной дея­тельности в современной электронной сре­де значительно снижаются транзакционные издержки, т.е. издержки, сопряженные с пе­реходом прав собственности на потребитель­ский результат.

Обычно руководство и лица, наделенные руководящими полномочиями экономичес­кого субъекта, вовлеченного в электронный бизнес, оценивают бизнес – и ИТ-риски по­средством внедрения системы информаци­онной безопасности, создания надлежащей ее инфраструктуры и применения надлежа­щих средств контроля, которые направлены:

  • на идентификацию и проверку подлин­ности потребителей и поставщиков;
  • на обеспечение целостности информа­ции о бизнес-операциях;
  • на получение оплаты или обеспечения в отношении кредитных средств потребите­лей;
  • на установку протоколов конфиденци­альности и защиты информации.

Аудитор должен понимать, что над­лежащим образом функционирующая система информационной безопасности и внутреннего контроля, ориентирован­ная именно на электронный бизнес, может уменьшить влияние значительного числа бизнес – и ИТ-рисков. Однако, приступая к аудиторскому исследованию указанной системы, ему необходимо, прежде всего, учесть, что особое значение в электронном бизнесе имеют проблемы, связанные с со­хранением целостности самих контроль­ных процедур в перманентно меняющейся электронной среде, а также обеспечением доступа к соответствующей информации (например, учетным записям) для удовлет­ворения потребности как самого субъекта, так и аудитора.

Независимо от размера экономического субъекта и специфики его информационной системы работы по обеспечению информа­ционной безопасности обычно включают следующие этапы:

  • формирование политики информаци­онной безопасности;
  • определение границ (масштабов) систе­мы управления информационной безопас­ностью и постановка конкретных целевых установок ее создания;
  • оценка и управление рисками;
  • выбор контрмер, обеспечивающих над­лежащий режим информационной безопас­ности;
  • аудит системы управления информа­ционной безопасностью.

В свою очередь, каждый из перечислен­ных этапов имеет свой алгоритм реализации. Так, например, при формировании политики информационной безопасности аудитору необходимо:

  • определить используемые нормативно-правовые документы, руководства и стан­дарты в области информационной безопас­ности, а также основные положения поли­тики;
  • определить подходы к управлению биз­нес – и ИТ-рисками;
  • структурировать контрмеры по уров­ням и пр.

При определении границ (масштаба) си­стемы управления информационной безо­пасностью и постановке целевых устано­вок ее создания руководящее звено систе­мы управления экономическим субъектом должно сформировать документ, отража­ющий границы системы информационной безопасности, ресурсы, подлежащие за­щите, и систему критериев оценки их цен­ности.

На этапе оценки и управления бизнес-и ИТ-рисками необходимо, прежде всего, поставить конкретные задачи их оценки и обосновать требования к самой методике этой оценки. При этом выбор той или иной методики зависит от уровня требований, предъявляемых в экономическом субъекте к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности контрмер. Кроме того, не­обходимо разработать основополагающую стратегию управления рисками разных классов. При этом в современных условиях обычно используют несколько подходов:

  • уменьшение риска посредством прос­тейших контрмер (смена паролей, снижаю­щая несанкционированный доступ к инфор­мации);
  • уклонение от риска, например, посред­ством вынесения веб-сервера экономическо­го субъекта за пределы локальной сети;
  • изменение характера риска, например, путем страхования оборудования от стихий­ных бедствий и пр.;
  • принятие риска, который остается пос­ле принятия контрмер.

В соответствии с выбранной стратеги­ей управления рисками необходимо опре­делить комплекс контрмер, структуриро­ванных по уровням (организационному, аппаратно-программному и пр.), а также отдельным аспектам информационной безопасности.

Аудит системы управления информаци­онной безопасностью осуществляется с це­лью проверки соответствия выбранных кон­трмер декларированным в политике безо­пасности целям.

Основными целевыми установками ука­занного направления аудиторского исследо­вания являются:

  • исследование и анализ рисков, связан­ных с возможностью осуществления угроз безопасности в отношении ИТ-ресурсов;
  • оценка текущего уровня защищеннос­ти информационной системы аудируемого субъекта;
  • локализация узких мест в системе за­щиты;
  • оценка соответствия информационной системы требованиям стандартов в области информационной безопасности;
  • выработка рекомендаций по внедре­нию новых и повышению эффективности существующих механизмов информационной безопасности.

Однако применение аудита только при ис­следовании контрмер сужает его возмож­ности. Следует отметить, что надлежащий эффект может дать только комплексный и системный подход к аудиту электронного бизнеса в целом, его бизнес – и информаци­онной системы. При этом аудит информаци­онной безопасности может являться лишь элементом комплексного аудита электрон­ного бизнеса любого экономического субъ­екта.

Отличительной особенностью выполне­ния аудита информационной безопаснос­ти является несколько иная точка зрения на сбор и обработку сведений об электронной среде аудируемого субъекта. Так, напри­мер, при определении границ (масштабов) предстоящего аудита аудитору необходимо учесть:

  • перечень обследуемых физических, программных и информационных ресурсов;
  • помещения, попадающие в границы об­следования;
  • организационные (нормативно-право­вые, процедурные и административные), физические, аппаратно-программные и про­чие аспекты обеспечения информационной безопасности и их приоритеты.

Осуществляя сбор сведений об эко­номическом субъекте, аудитору следует помнить, что компетентные выводы отно­сительно положения дел в субъекте с ин­формационной безопасностью, а тем более адекватные рекомендации по ее оптими­зации могут быть осуществлены только при условии наличия всего массива надле­жащих исходных данных, необходимых для анализа и оценки.

Так как обеспечение информационной безопасности — комплексный и систем­ный процесс, требующий четкой органи­зации и дисциплины, он должен начинать­ся с определения ролей и распределе­ния ответственности среди должностных лиц, занимающихся безопасностью. По­этому аудитору, прежде всего, необхо­димо получить знания об организацион­ных структурах пользователей информа­ционных технологий и обслуживающих их ИТ-подразделений.

Осуществляя в ходе сбора исходной ин­формации интервьюирование ответствен­ных и наделенных руководящими полномо­чиями лиц аудируемого субъекта, аудитор должен получить следующие сведения:

  • о владельцах информации;
  • о пользователях (потребителях) ин­формации;
  • о провайдерах услуг;
  • о характере и путях предоставления услуг (сервисов) конечным потребителям;
  • об основных видах функционирующих приложений;
  • о количестве и видах пользователей, использующих те или иные приложения;
  • о существующих компонентах (элемен­тах) информационной системы;
  • о функциональности отдельных компо­нентов информационной системы;
  • о масштабе и границах информацион­ной системы;
  • о входах в информационную систему;
  • о взаимодействии с другими системами (в частности, с системой внутреннего контро­ля);
  • о каналах связи при взаимодействии с другими системами аудируемого субъекта;
  • о каналах связи между компонентами информационной системы;
  • о протоколах взаимодействия;
  • об аппаратно-программных платфор­мах, используемых в информационной сис­теме.

Кроме перечисленных сведений, ауди­тору необходимо получить от аудируемого субъекта:

  • структурные и функциональные схе­мы;
  • схемы информационных потоков;
  • описание комплекса аппаратных средств информационной инфраструктуры;
  • описание автоматизированных функ­ций (в т.ч. контрольных);
  • описание основных технических реше­ний;
  • проектную и рабочую документацию на информационную систему;
  • описание структуры программного обеспечения.

Получение знаний по указанным аспек­там не должно заканчиваться и при проведе­нии аудита по существу проблем информа­ционной безопасности.

После подготовки информационной базы для исследования аудиторы переходят к анализу собранных сведений. С этой це­лью международная практика и многолет­ний опыт рекомендуют три подхода, кото­рые некоторым образом отличаются друг от друга.

Первый подход основан на использовании существующих стандартов информацион­ной безопасности, которые определяют не­кий базовый набор требований для широкого класса информационных технологий и раз­рабатываются на основе передового мирово­го опыта в указанной области знаний. Ауди­тор, опираясь на положения стандартов и полученные сведения о субъекте, должен надлежащим образом определить адекват­ный набор требований, соответствие кото­рым необходимо обеспечить для конкретной информационной системы. Указанный под­ход позволяет при минимальных затратах вырабатывать адекватные управленческие рекомендации по совершенствованию информационной безопасности в каждом кон­кретном случае. Основным недостатком это­го подхода является отсутствие параметров, характеризующих режим информацион­ной безопасности. При таком подходе мож­но упустить из поля зрения специфические для конкретной информационной системы классы потенциальных и даже существую­щих угроз.

Второй подход основан на использовании в аудиторском исследовании существую­щих методов анализа бизнес – и ИТ-рисков, учитывающих индивидуальность каждого аудируемого субъекта, его информационной системы, среды ее функционирования и существующие, а также потенциальные угро­зы безопасности. Данный подход является наиболее трудоемким и требует от аудитора привлечения к исследованию наиболее компетентных в этой области специалистов-экс­пертов.

Третий подход — комбинированный, предполагающий использование базового набора требований безопасности, определя­емого стандартами, расширяемого допол­нительными требованиями, учитываемыми при использовании метода анализа рисков.

Указанный подход, хотя и намного проще второго (т.к. основой его являются требова­ния безопасности, определенные стандар­тами), но в то же время лишен недостатка первого подхода, связанного с тем, что тре­бования стандартов практически не учиты­вают индивидуальности систем конкретного экономического субъекта.

При существовании повышенных требо­ваний к информационной безопасности наи­более приемлемым является третий подход к аудиторскому исследованию. В данном случае аудитору наряду с базовыми требо­ваниями стандартов необходимо надлежа­щим образом исследовать:

  • бизнес – и ИТ-процессы с позиций ин­формационной безопасности;
  • ресурсы аудируемого субъекта и их ценность;
  • существующие и потенциальные угро­зы информационной безопасности;
  • уязвимость (слабые места) существую­щей у субъекта защиты информации.

При этом все ресурсы необходимо ис­следовать с позиции оценки угроз, т.е. воз­действия вероятных или спланированных действий внутренних или внешних зло­умышленников, а также различных нежела­тельных событий естественного происхож­дения.

В свою очередь, ценность (важность) ре­сурса, как правило, определяется величи­ной ущерба, наносимого в случае нарушения информационной безопасности. На практи­ке обычно рассматривают следующие виды ущерба:

  • данные были изменены, удалены или стали недоступны;
  • аппаратно-программные средства были разрушены или повреждены;
  • нарушена целостность программного обеспечения и пр.

Осуществляя аудиторское исследование информационной безопасности, аудитору необходимо выяснить, может ли быть нане­сен ущерб аудируемому субъекту в резуль­тате успешного прохождения следующих видов угроз:

  • удаленные или локальные атаки на ИТ-ресурсы;
  • стихийные бедствия;
  • ошибки, искажения или преднамерен­ные действия ИТ-персонала;
  • сбои в работе информационных тех­нологий, связанные с программным обеспе­чением или неисправностями аппаратных средств.

Сама оценка рисков может быть осу­ществлена с использованием как каче­ственных, так и количественных шкал. Аудитору необходимо правильно их иден­тифицировать и проранжировать в со­ответствии со степенью их критичности для конкретного аудируемого субъек­та. На основе проведенного исследования и оценки рисков вырабатываются адекватные им мероприятия (контрмеры) по их снижению до приемлемого уровня. В каждом конкретном случае рекоменда­ции должны быть конкретными и приме­нимыми к исследуемой информационной системе. Кроме того, указанные рекоменда­ции необходимо обосновать экономически. Следует помнить, что контрмеры по защи­те организационного уровня должны иметь приоритет над аппартно-программными методами защиты. В то же время обяза­тельной составляющей цикла аудита ин­формационной безопасности является пе­риодическая проверка соответствия реа­лизованного по результатам аудирования режима безопасности политике безопасности и установленным критериям.

В заключение следует отметить, что про­веденные исследования позволяют лишь обозначить возможность расширения ус­луг, оказываемых современными высоко­профессиональными аудиторами. При этом автор не претендует на полное раскрытие возможностей аудита электронного бизнеса, проблемы которого практически не охваче­ны современным аудиторским сообществом и требуют более полных и всесторонних ис­следований.


Список литературы

  1. Андерсен, Бьерн. Бизнес-процессы. Инструменты совершенствования / Бьерн Андерсен. 2-е изд. М.: РИА «Стандарты и качество», 2004. 272 с.
  2. Берн, Р. Дж. Эффективное использование результатов маркетинговых исследований: Как при­нимать и осуществлять на практике наиболее оптимальные решения / Р. Дж. Берн; пер. с англ. Дне­пропетровск: Баланс Бизнес Букс, 2005. 272 с.
  3. Булыга, Р.П. Аудит бизнеса. Практика и проблемы развития: монография / Р.П. Булыга, М.В. Мельник; под ред. Р.П. Булыги. — М.: ЮНИТИ-ДАНА, 2013. — 263 с.
  4. Джордж, С. Всеобщее управление качеством: стратегии и технологии, применяемые сегодня в самых успешных компаниях (TQM) / С. Джордж, А. Ваймарскирх. СПб.: Виктория-плюс, 2002. 256 с.
  5. Друкер, П. Эффективное управление / П. Друкер; пер. с англ. М. Котельниковой. М.: ООО «Из­дательство Астрель»: ООО «Издательство АСТ»: ЗАО НПП «Ермак», 2004. 284 с.
  6. Котлер, Ф. Основы маркетинга / Ф. Котлер, Г. Армстронг, Д. Сондерс, В. Вонг; пер. с англ. М.: Издат. дом «Вильямс», 2001. 1056 с.
  7. Cobit 4.1. Методология. Цели контроля. Руководство по управлению. Модели зрелости процес­сов: российское издание / пер. с англ. И. А. Вдовина. — М.: Аудит и контроль информационных си­стем, 2008.
  8. Ситнов, А.А. Особенности аудита информационных инфраструктур // Аудитор. 2011. № 11 (201). — С. 26—38.
  9. Ситнов, А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомос­ти. — 2012. — № 6. — С. 44—56.
  10. Ситнов, А.А. Аудит состояния информационной инфраструктуры // Аудитор. — 2012. — № 12 (214). — С. 16—21.
  11. Ситнов, А.А. Инструментальные средства управления и адаптации экономических систем на основе операционного бизнеса: монография / А.А. Ситнов, А.И. Уринцов. М.: Издат. центр ЕАОИ, 2013. — 512 с.

Автор:

Теги: аудит  электронный бизнес  системы управления  бизнес-системы  Electronic business  E-business  EDI-системы  Electronic Data Interchange  business-to-business  B2B  business-to-consumer  B2C  business-to-administration  B2A  consumer-to-administration  C2