Автор: А. А. Ситнов, д-р экон. наук, профессор кафедры «Аудит и контроль» ФГОБУ ВПО «Финансовый университет при Правительстве Российской Федерации»; e-mail: 55st@mail.ru
Источник: Журнал “АУДИТОР” №7-2013
Дата публикации: 15 Августа 2013
В предлагаемой статье, по существу, обобщены и систематизированы взгляды на аудит электронного бизнеса при перманентном влиянии внешнего окружения на экономические субъекты, раскрыты его существенные преимущества для системы управления экономическим субъектом.
Электронный бизнес – предметная область аудита
Современный этап формирования и развития мировой рыночной системы характеризуется высокой неопределенностью и все возрастающей динамикой постоянных изменений во внешнем (коммерческом) окружении экономических субъектов. Глобальные изменения структуры мировой рыночной системы в XXI веке обусловлены изменением роли высокотехнологического сектора экономики и переходом к информационному обществу. Экономические субъекты в этих условиях становятся все более сложными и динамичными бизнес-системами. При этом усложняются как сама структура управления ими, так и обработка и передача надлежащей информации, которая становится существенной частью бизнес-процессов.
Исследования зарубежных и российских ученых [1, 2, 3, 4, 5, 10, 11 и др.] показывают, что в современных условиях конкурентными преимуществами будут обладать те бизнес-системы, которые смогут быстро создавать и доставлять результат труда (продукцию, товары, работы или услуги), соответствующий определенной потребности каждого уникального потребителя, а не абстрактным требованиям обобщенного рынка. Способность производителей совмещать индивидуальные потребительские предпочтения с производством соответствующих потребительских результатов и адекватной системой управления является решающим фактором эффективного развития таких систем.
Таким образом, основными задачами управления экономическими субъектами в этих условиях являются привлечение и удержание каждого потребителя при условии сохранения необходимого соотношения цена / качество, а также постоянное обеспечение эффективности самих бизнес-систем. Иными словами, необходима такая модель построения организационной структуры управления, которая позволяла бы бизнес-системе в целом эффективно взаимодействовать с ее внешним окружением и в особенности с ее потребителями. Особую роль в этом играют современные информационные технологии и, в частности, Интернет.
В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований внешнего окружения меняются требования, предъявляемые к программным продуктам и ИТ-сервисам (ИТ-услугам), что приводит к добавлению в их информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающие их сложность и разнородность оказывают влияние на управляемость всей информационной системой субъектов, стабильность и эффективность ее работы [7].
В то же время значительное число современных хозяйствующих субъектов, преодолевая традиционные подходы ведения финансово-хозяйственной деятельности, вступают в новый сегмент мировой рыночной системы, в т.н. электронный бизнес (Electronic business, E-business), предполагающий использование глобальных информационных сетей для преобразования и реализации своих внутренних и внешних связей, а также своих возможностей.
За относительно короткий период электронный бизнес трансформировался из EDI-систем (Electronic Data Interchange), обеспечивающих лишь электронный обмен данными, в комплексные интернет-ориентированные системы, позволяющие автоматизировать практически весь спектр взаимосвязей и отношений любого экономического субъекта с его внешним окружением. Иными словами, в современных условиях развивается сервисно-ориентированный Интернет, который реализует широкий спектр интегрированных отношений между экономическими субъектами (business-to-business, B2B), экономическими субъектами и потребителями (business-to-consumer, B2C), экономическими субъектами и правительством (business-to-administration, B2A), потребителями и правительством (consumer-to-administration, C2A).
Электронный бизнес в современных условиях развития экономики представляет собой либо дополнение к традиционной деятельности субъекта (например, реализация книг или компакт-дисков, поставляемых по договору), либо абсолютно новое направление деятельности с использованием собственного веб-сайта для поставки и продажи потребительского результата через Интернет. В последнем случае отсутствует такое понятие, как географическая сегментация, и, как следствие, снижаются многие ограничения, сопряженные с временными рамками и расстояниями между взаимодействующими субъектами. Иными словами, в электронной среде (например, в сети Интернет) не существует четкой упорядоченной географической сети поставок, которой обычно характеризуется традиционная деятельность экономических субъектов. В современных условиях не все отрасли благоприятны для ведения электронного бизнеса. В то же время, если отрасль, в которой функционирует субъект, находится под значительным влиянием электронной среды, то, как следствие, бизнес-риски этих субъектов могут быть весьма значительными по сравнению с субъектами, ведущими традиционную финансово-хозяйственную деятельность. Поэтому оценка бизнес-рисков и управление ими являются важнейшими задачами, стоящими перед этими субъектами.
И все же до настоящего времени наиболее значимыми и первоочередными задачами современных экономических субъектов, реализующих свои возможности в электронной среде, являются создание единого интегрированного ядра, окруженного специальной оболочкой, состоящей из взаимосвязанных систем снабжения, сбыта, маркетинга, сервиса, и, как следствие, осуществление перманентного контроля за ними. При этом указанные системы должны быть построены таким образом, чтобы существовала возможность их превентивного видоизменения в зависимости от условий, складывающихся в процессе функционирования этих субъектов.
Сложность указанных аспектов и постоянное усиление внимания к ним приводят к особой специализации и концентрации управленческих исследований, требующих независимого (непредвзятого) системного и комплексного подхода. Однако при этом многие проблемы в практике управления обычно оцениваются и анализируются управленческими структурами абсолютно изолированно друг от друга, не учитывается их совокупное влияние на функционирование бизнес – и ИТ-систем и их составляющих элементов, а некоторые вообще игнорируются.
В условиях же стремительно возрастающей роли современных информационных технологий профессиональный подход к управлению без непрерывных всесторонних исследований не позволяет компенсировать существенные недостатки в организации и управлении бизнес – и ИТ-процессами, а также существующими и потенциальными бизнес-рисками.
Поэтому мировая общественность признает, что в современных условиях необходима система, способная надлежащим образом проводить всесторонние исследования и вырабатывать оптимальные управленческие рекомендации для принятия своевременных и эффективных управленческих решений.
Практически незаменимым и совершенным инструментарием при осуществлении разностороннего исследования и оценке информационной инфраструктуры, принятии управленческих решений, прогнозировании развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управления этими системами является аудит. Однако при его реализации необходимо учитывать то, что информационная система и ее информационная инфраструктура, являясь по своей сути моделью бизнес-системы, в которой она функционирует, — весьма сложное и многофункциональное образование, требующее особого, кропотливого, системного и комплексного подхода к аудиторскому исследованию их состояния и функционирования.
Так как Интернет является электронной средой общего пользования, представляющей широкую возможность взаимодействия различных субъектов, то, как следствие, указанная среда влечет за собой особые риски, которые не проявляются при ведении традиционной деятельности. Широкое использование указанной среды без построения надлежащей системы внутреннего контроля, ориентированной на электронную среду, может оказать существенное влияние не только на экономический субъект в целом, но и на внутренний потенциал, а также на внешнее окружение этого субъекта.
Принимая задание на всестороннее аудиторское исследование электронной среды любого экономического субъекта, вовлеченного в электронный бизнес, как и при традиционном аудите финансовой отчетности, необходимо, прежде всего, получить надлежащие знания о внешнем (коммерческом) окружении, бизнес-процессах, информационной инфраструктуре, существующих и потенциальных бизнес – и ИТ-рисках этих субъектов. При этом следует учитывать, что уровень знаний, необходимый для понимания влияния электронной среды на функционирование любой бизнес-системы, зависит от сложности бизнеса, осуществляемого этой системой.
Если электронный бизнес является основой функционирования бизнес-системы, то, приступая к проведению аудита, аудитору необходимо понять и оценить:
В свою очередь, для получения знаний о системе внутреннего контроля, ориентированной на электронный бизнес экономического субъекта, внимание аудитора должно быть акцентировано на оценке:
В то же время аудитор должен учитывать, что масштабы электронного бизнеса различных экономических субъектов неодинаковы. Так, например, электронный бизнес может быть направлен:
При наличии у аудируемого субъекта своего веб-сайта, даже при отсутствии у пользователей интерактивного доступа к указанному ресурсу, могут возникать проблемы как информационной безопасности, так и эффективности его функционирования.
Особенности аудита информационной безопасности электронного бизнеса
Под информационной безопасностью в данном контексте следует понимать защищенность информации и поддерживающей ее информационной системы от случайных и преднамеренных воздействий естественного или искусственного характера, наносящих ущерб владельцам или пользователям этой информации и поддерживающей ее информационной системе.
В этом случае аудитор должен провести комплексное исследование веб-сайта, что позволит выявить и оценить существующие и вероятные его недостатки, которые мешают и способны помешать в будущем его надлежащему развитию. С этой целью аудитору необходимо выявить и оценить:
В то же время аудитор должен учитывать, что в электронном бизнесе бизнес-операции, генерированные с веб-сайта, должны быть надлежащим образом обработаны внутренними системами экономического субъекта, такими, как система бухгалтерского учета, система управления работой с потребителями, система управления запасами и система внутреннего контроля. Значительное число веб-сайтов в современных условиях практически не интегрированы с внутренними системами экономических субъектов. Поэтому применяемые ими приемы перехвата и передачи информации о бизнес-операциях, например, в систему бухгалтерского учета могут повлиять:
Дальнейший и бурный рост числа экономических субъектов, внедряющих современные информационные технологии или полностью ориентированных на электронный бизнес, обусловлен, прежде всего, тем, что при ведении финансово-хозяйственной деятельности в современной электронной среде значительно снижаются транзакционные издержки, т.е. издержки, сопряженные с переходом прав собственности на потребительский результат.
Обычно руководство и лица, наделенные руководящими полномочиями экономического субъекта, вовлеченного в электронный бизнес, оценивают бизнес – и ИТ-риски посредством внедрения системы информационной безопасности, создания надлежащей ее инфраструктуры и применения надлежащих средств контроля, которые направлены:
Аудитор должен понимать, что надлежащим образом функционирующая система информационной безопасности и внутреннего контроля, ориентированная именно на электронный бизнес, может уменьшить влияние значительного числа бизнес – и ИТ-рисков. Однако, приступая к аудиторскому исследованию указанной системы, ему необходимо, прежде всего, учесть, что особое значение в электронном бизнесе имеют проблемы, связанные с сохранением целостности самих контрольных процедур в перманентно меняющейся электронной среде, а также обеспечением доступа к соответствующей информации (например, учетным записям) для удовлетворения потребности как самого субъекта, так и аудитора.
Независимо от размера экономического субъекта и специфики его информационной системы работы по обеспечению информационной безопасности обычно включают следующие этапы:
В свою очередь, каждый из перечисленных этапов имеет свой алгоритм реализации. Так, например, при формировании политики информационной безопасности аудитору необходимо:
При определении границ (масштаба) системы управления информационной безопасностью и постановке целевых установок ее создания руководящее звено системы управления экономическим субъектом должно сформировать документ, отражающий границы системы информационной безопасности, ресурсы, подлежащие защите, и систему критериев оценки их ценности.
На этапе оценки и управления бизнес-и ИТ-рисками необходимо, прежде всего, поставить конкретные задачи их оценки и обосновать требования к самой методике этой оценки. При этом выбор той или иной методики зависит от уровня требований, предъявляемых в экономическом субъекте к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности контрмер. Кроме того, необходимо разработать основополагающую стратегию управления рисками разных классов. При этом в современных условиях обычно используют несколько подходов:
В соответствии с выбранной стратегией управления рисками необходимо определить комплекс контрмер, структурированных по уровням (организационному, аппаратно-программному и пр.), а также отдельным аспектам информационной безопасности.
Аудит системы управления информационной безопасностью осуществляется с целью проверки соответствия выбранных контрмер декларированным в политике безопасности целям.
Основными целевыми установками указанного направления аудиторского исследования являются:
Однако применение аудита только при исследовании контрмер сужает его возможности. Следует отметить, что надлежащий эффект может дать только комплексный и системный подход к аудиту электронного бизнеса в целом, его бизнес – и информационной системы. При этом аудит информационной безопасности может являться лишь элементом комплексного аудита электронного бизнеса любого экономического субъекта.
Отличительной особенностью выполнения аудита информационной безопасности является несколько иная точка зрения на сбор и обработку сведений об электронной среде аудируемого субъекта. Так, например, при определении границ (масштабов) предстоящего аудита аудитору необходимо учесть:
Осуществляя сбор сведений об экономическом субъекте, аудитору следует помнить, что компетентные выводы относительно положения дел в субъекте с информационной безопасностью, а тем более адекватные рекомендации по ее оптимизации могут быть осуществлены только при условии наличия всего массива надлежащих исходных данных, необходимых для анализа и оценки.
Так как обеспечение информационной безопасности — комплексный и системный процесс, требующий четкой организации и дисциплины, он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся безопасностью. Поэтому аудитору, прежде всего, необходимо получить знания об организационных структурах пользователей информационных технологий и обслуживающих их ИТ-подразделений.
Осуществляя в ходе сбора исходной информации интервьюирование ответственных и наделенных руководящими полномочиями лиц аудируемого субъекта, аудитор должен получить следующие сведения:
Кроме перечисленных сведений, аудитору необходимо получить от аудируемого субъекта:
Получение знаний по указанным аспектам не должно заканчиваться и при проведении аудита по существу проблем информационной безопасности.
После подготовки информационной базы для исследования аудиторы переходят к анализу собранных сведений. С этой целью международная практика и многолетний опыт рекомендуют три подхода, которые некоторым образом отличаются друг от друга.
Первый подход основан на использовании существующих стандартов информационной безопасности, которые определяют некий базовый набор требований для широкого класса информационных технологий и разрабатываются на основе передового мирового опыта в указанной области знаний. Аудитор, опираясь на положения стандартов и полученные сведения о субъекте, должен надлежащим образом определить адекватный набор требований, соответствие которым необходимо обеспечить для конкретной информационной системы. Указанный подход позволяет при минимальных затратах вырабатывать адекватные управленческие рекомендации по совершенствованию информационной безопасности в каждом конкретном случае. Основным недостатком этого подхода является отсутствие параметров, характеризующих режим информационной безопасности. При таком подходе можно упустить из поля зрения специфические для конкретной информационной системы классы потенциальных и даже существующих угроз.
Второй подход основан на использовании в аудиторском исследовании существующих методов анализа бизнес – и ИТ-рисков, учитывающих индивидуальность каждого аудируемого субъекта, его информационной системы, среды ее функционирования и существующие, а также потенциальные угрозы безопасности. Данный подход является наиболее трудоемким и требует от аудитора привлечения к исследованию наиболее компетентных в этой области специалистов-экспертов.
Третий подход — комбинированный, предполагающий использование базового набора требований безопасности, определяемого стандартами, расширяемого дополнительными требованиями, учитываемыми при использовании метода анализа рисков.
Указанный подход, хотя и намного проще второго (т.к. основой его являются требования безопасности, определенные стандартами), но в то же время лишен недостатка первого подхода, связанного с тем, что требования стандартов практически не учитывают индивидуальности систем конкретного экономического субъекта.
При существовании повышенных требований к информационной безопасности наиболее приемлемым является третий подход к аудиторскому исследованию. В данном случае аудитору наряду с базовыми требованиями стандартов необходимо надлежащим образом исследовать:
При этом все ресурсы необходимо исследовать с позиции оценки угроз, т.е. воздействия вероятных или спланированных действий внутренних или внешних злоумышленников, а также различных нежелательных событий естественного происхождения.
В свою очередь, ценность (важность) ресурса, как правило, определяется величиной ущерба, наносимого в случае нарушения информационной безопасности. На практике обычно рассматривают следующие виды ущерба:
Осуществляя аудиторское исследование информационной безопасности, аудитору необходимо выяснить, может ли быть нанесен ущерб аудируемому субъекту в результате успешного прохождения следующих видов угроз:
Сама оценка рисков может быть осуществлена с использованием как качественных, так и количественных шкал. Аудитору необходимо правильно их идентифицировать и проранжировать в соответствии со степенью их критичности для конкретного аудируемого субъекта. На основе проведенного исследования и оценки рисков вырабатываются адекватные им мероприятия (контрмеры) по их снижению до приемлемого уровня. В каждом конкретном случае рекомендации должны быть конкретными и применимыми к исследуемой информационной системе. Кроме того, указанные рекомендации необходимо обосновать экономически. Следует помнить, что контрмеры по защите организационного уровня должны иметь приоритет над аппартно-программными методами защиты. В то же время обязательной составляющей цикла аудита информационной безопасности является периодическая проверка соответствия реализованного по результатам аудирования режима безопасности политике безопасности и установленным критериям.
В заключение следует отметить, что проведенные исследования позволяют лишь обозначить возможность расширения услуг, оказываемых современными высокопрофессиональными аудиторами. При этом автор не претендует на полное раскрытие возможностей аудита электронного бизнеса, проблемы которого практически не охвачены современным аудиторским сообществом и требуют более полных и всесторонних исследований.
Список литературы