CC BY
19
ISSN 2541-8025
Том XV 5-2019
Проблемы экономики и юридической практики
4. БУХГАЛТЕРСКИЙ УЧЕТ, СТАТИСТИКА (СПЕЦИАЛЬНОСТЬ 08.00.12)
4.1. АУДИТ ИНФОРМАЦИОННЫХ СИСТЕМ - РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД
©Ситнов Алексей Александрович, доктор экономических наук, профессор Департамента учета, анализа и аудита Место работы: Финансовый университет при Правительстве Российской Федерации, Москва
ASitnov@fa.ru
Аннотация
Задача. В статье рассмотрен регламент аудита информационных систем бизнеса, основанный на методологии международного стандарта COBIT в условиях становления информационного общества его российского сегмента. Дана оценка особенностям риск-ориентированного подхода в условиях перехода к всеобщей цифровизации, а также выявлены основные направления развития указанного подхода.
Проблема состоит и в том, что методология COBIT не раскрывает сущности и алгоритмов указанного подхода и допускает его применение индивидуально в каждом конкретном аудите информационной системы любого бизнеса. Исследования показали, что для того, чтобы эффективно управлять, необходимо получить надлежащее понимание того, чем именно управлять. Поэтому аудитору прежде всего необходимо выявить потенциальные проблемы и факторы, которые могут повлиять на процесс и результат управления.
Модель. В статье исследованы современные подходы построения аудитором модели анализа рисков, в которой критерии аудита формируются на основании оценки рисков, позволяющие объединить возможности современных управленческих приемов и профессиональных знаний аудитора.
Выводы. Сделан вывод о том, что выполняя аудит ИТ-проекта аудитору, необходимо учитывать, что указанный проект осуществляется на фоне постоянного прикладного исследования. Разработка прототипов, тестирование гипотез, создание MVP все это необходимо, чтобы получить на выходе продукт, который будет эффективно работать и приносить прибыль. Однако любой исследовательский процесс влечет за собой риски, связанные с неопределенностью и непредсказуемостью.
Практическое значение. Практическая значимость статьи состоит в том, что выводы и предложения, направлены на реальную оптимизацию современного аудита бизнеса в целом и аудита информационных систем в частности.
Оригинальность. Проведенное авторами исследование выявило то, что исследовательский характер современного аудита связан с тем, что современные пользователи его услугами избалованы многообразием, которое предлагает им рынок консалтинговых услуг. Они привыкли к тому, что цифровые продукты и сервисы доступны здесь и сейчас, удобны в использовании и безопасны. К тому же на восприятие цифровых продуктов влияет глобализация. Технологии, которые существуют два-три года и не раз успешно использовались, могут потерять интерес потребителей на фоне новых решений. И такие скоростные изменения означают, что всегда есть риск опоздать. При такой конкуренции неправильная оценка ситуации на рынке, задержка в выпуске на рынок или недостатки, влияющие на качество, могут стать для продукта губительными. Предлагаемый в статье подход к аудиту информационных систем позволяет исключить указанные сложности, возникающие у потребителей ИТ.
Ключевые слова: аудит, информационные системы, ИТ-технологии, бизнес-риск, ИТ-риск, модель анализа рисков, контрмеры.
Другим, как уже отмечалось ранее, распространенным подходом практической реализации аудиторского исследования информационных систем и входящих в них информационных технологий, основанном на требованиях методологии СОВ1Т, является использование аудитором модели анализа рисков (рисунок 1), в которой критерии аудита формируются на основании оценки рисков. Указанный подход можно определить как риск-ориентированный подход.
Алгоритм модели анализа рисков СОВ1Т начинается с оценки ИТ-ресурсов необходимых для достижения бизнес-целей. ИТ-ресурсы, как уже отмечалось ранее, включают в себя информацию, технические, программные и прочие средства (в том числе персонал), необходимые для ее получения, обработки, выдачи заинтересованным пользователям и хранения. На сле-
дующем этапе осуществляется анализ уязвимостей и угроз, препятствующих достижению бизнес-целей.
Оценка
ресурсов
Анализ угроз
Анализ уязвимостей
х:
Выбор корректирующих действий (контрмер)
Анализ рисков Оценка
эффективности
контрмер
Разработка плана действий по внедрению механизмов управления
Оценка остаточных рисков
Рисунок 1. Модель анализа рисков COBIT.
АУДИТ ИНФОРМАЦИОННЫХ СИСТЕМ -РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД
Ситнов А. А.
Вероятность угрозы, величина уязвимости, а также размер возможного ущерба определяют степень риска, связанного с возможностью реального проявления той или иной угрозы. Далее аудитору необходимо выбрать корректирующие действия (контрмеры), оценить их эффективность, определить величину остаточных рисков после реализации контрмер и разработать для управления бизнесом план действий по внедрению адекватных механизмов управления.
При этом обоснование риска невыполнения задач управления необходимо осуществлять посредством сравнения структуры оценки рисков бизнеса с другими экономическими субъектами входящими в его отрасль, а также с соответствующими международными стандартами или с общепризнанными «лучшими практиками» с последующим детальным исследованием подхода к оценке рисков, используемого для идентификации, измерения и уменьшения величины рисков до приемлемого для него уровня.
Указанный подход позволяет выявить:
- не идентифицированные риски;
- неизмеренные риски;
- риски, которые не были уменьшены до приемлемого уровня;
- устаревшие оценки рисков;
- ошибочные оценки рисков, угроз и уязвимостей;
- планы управления рисками, не предусматривающие экономически оправданных механизмов управления и мер безопасности;
- отсутствие формального признания остаточных рисков;
- неадекватное страховое обеспечение.
Кроме того, аудитору необходимо оценить:
- предусматривает ли структура оценки рисков бизнеса регулярное обновление указанной оценки с целью уменьшения рисков до приемлемого уровня;
- согласована ли со структурой оценки рисков надлежащим образом подготовленная документация по оценке рисков;
- вовлечены ли в процесс оценки рисков ИТ-управление и ИТ-персонал;
- осведомлено ли руководство бизнеса о факторах, обусловливающих риски, и вероятности угроз;
- понимает и формально принимает ли соответствующий персонал остаточные риски;
- своевременно ли и предоставляются вообще высшему руководству на согласование отчеты по оценке рисков;
- имеет ли своей целью измерить количественно или качественно величину уязвимости к риску подход, используемый для анализа рисков;
- используются ли для выявления каждой разновидности угрозы риски, угрозы и уязвимости, идентифицированные руководством, и их соответствующие атрибуты;
- является ли актуальным и включает ли в себя экономически оправданные механизмы управления и контрмеры, направленные на уменьшение рисков сформированный и утвержденный план управления рисками;
- существует ли система приоритетов, а также имеется ли соответствующая контрмера для каждого риска (в частности, спланированная превентивная мера, вторичный детектирующий механизм управления, а также третичный корректирующий механизм управления);
- документированы, актуальны и доведены ли до сведения ответственных лиц сценарии осуществления угроз;
- существует ли достаточное страховое обеспечение, учитывающее различные сценарии угроз для остаточных рисков (в частности, пожар, затопление, землетрясение, ураганы, терроризм, непредвиденные природные бедствия; недостаточная ответственность сотрудников организации; потеря прибылей и клиентов в результате прерывания бизнес-процессов; иные риски, обычно не охватываемые рассмотренными планами обеспечения непрерывности бизнеса).
Следующим, не менее важным из этапов риск-ориентированного подхода является этап идентификации и документирования.
Для того чтобы эффективно управлять, необходимо получить надлежащее понимание того, чем именно управлять. Поэтому аудитору прежде всего необходимо выявить потенциальные проблемы и факторы, которые могут повлиять на процесс и результат управления. Определить потенциальные опасности можно путем интервьюирования высшего ИТ-руководства, отдельных ИТ-специалистов, отдельных специалистов по управлению рисками и ключевых пользователей ИТ-услуг, а также аудит процессов управления, технический аудит проектов, мозговые штурмы, анализ предыдущего опыта применения аналогичных управленческих решений, привлечение мнения специалистов-экспертов. На этом этапе в результате сбора информации необходимо сформировать реестр рисков (полный перечень потенциальных факторов риска).
Результатом указанных аудиторских процедур будет получение следующих сведений:
- политики и процедуры бизнеса, относящиеся к оценке рисков;
- документы с оценкой бизнес- и ИТ-рисков, а также операционных рисков;
- детали базиса, по которому измеряется величина риска и потери;
- файлы персонала, для которого производится оценка рисков;
- политики страхования остаточных рисков;
- мнения специалистов-экспертов;
- результаты обследований;
- база данных управления рисками.
На следующем этапе риск-ориентированного подхода аудитору необходимо понять, насколько высока вероятность реализации риска и каковы будут масштабы его последствий.
Для этого аудитор должен установить каждому фактору риска свой вес. На основе указанных аудиторских процедур аудитор может расстановить приоритеты в сформированном им реестре рисков. В противном случае пришлось бы работать над всеми факторами риска одновременно, что предполагает серьезные временные и финансовые затраты с низкой эффективностью.
В то же время следует учитывать, что разделить управление рисками в рамках реализации какого-либо ИТ-проекта на четко фиксированные этапы можно лишь условно. Указанные аудиторские процедуры анализа рисков необходимы при принятии любого управленческого решения, и связано это как было неоднократно отмечено ранее с неопределенностью и скоростью изменений, характерных для современного развития информационных технологий.
После того как аудитор разработает список рисков, которые распределены в порядке приоритетности, ему необходимо продумать план действий для предотвращения или снижения негативного влияния в случае, если риск-фактор сработает. В первую очередь следует максимально предусмотреть для руководства и управления процедуры предотвращения потенциальных рисковых ситуаций. При этом практика показывает, что необходимо разработать минимум два сценария управления рисками т. к. существует вероятность того, что один из них не сработает. Так, например, при интеграции ИТ-продукта со сторонними ИТ-сервисами существует вероятность риска отсутствия необходимого API (от англ. Application Programming Interface - программный интерфейс приложения, интерфейс прикладного программирования т. е. описание способов (набор классов, процедур, функций, структур или констант, при помощи которых один программный продукт может взаимо-
ISSN 2541-8025
Том XV 5-2019
Проблемы экономики и юридической практики
действовать с другим программным продуктом) он окажется нестабильным или лимитированным или может подвести по срокам реализации.
В этом случае аудитор может предложить как можно раньше интегрировать главный функционал, завязанный на указанном ИТ-сервисе, чтобы понять, с какими проблемами придется столкнуться. Если оказывается, что проблемы действительно существуют, необходимо иметь альтернативные ИТ-сервисы.
Если по каким-то причинам срабатывают все риски и невозможно завершить интеграцию до реализации, то аудитор может предложить сценарий настройки встроенных резервных вариантов для исследуемого им функционала, позволяющих какое-то время использовать продукт без привлечения стороннего ИТ-сервиса (например, ручная обработка запросов).
При этом следует учитывать, что варианты того, каким образом можно предотвратить предварительно идентифицированные риски могут быть самыми разнообразными. Они отличаются тем объемом усилий, который необходим для их реализации:
- сколько необходимо затратить ресурсов;
- как долго будет длиться подготовка;
- сколько сотрудников необходимо привлечь.
Поэтому прежде, чем рекомендовать принять соответствующее управленческое решение о дальнейшем плане действий, аудитору необходимо сравнить затраты и оценить, какой вариант будет наиболее разумным для конкретной ситуации. При этом следует учитывать, что цена страховки не должна быть дороже, чем то, что страхуешь.
Если бы существовал метод профилактики, способный избавить бизнес и информационные технологии от всех рисков на 100%, жизнь руководства и управления, а также и стейкхолде-ров бизнеса существенно бы облегчилась. Но поскольку такую универсальную методику еще не придумали, аудитору необходимо предусмотреть мероприятия, направленные на то, чтобы реализация риска нанесла бизнесу в целом и его информационной системе наименьший урон.
Реализация риск-ориентированного подхода аудита информационных систем в целом и информационных технологий в частности аудитору необходимо особым образом учитывать проектные риски, которые требуют индивидуального аудиторского исследования. При этом, следует учесть, что в в настоящее время уже выработан набор передовых практик, позволяющих снизить вероятность основных риск-факторов.
В XXI веке на фоне быстрых темпов и одновременно высокой неопределенности, и непредсказуемости результатов хозяйственного оборота на первый план выходят не столько технические или организационные риски, сколько риски, связанные с расхождением в ожиданиях:
- бизнеса и ИТ-команды;
- пользователей и бизнеса;
- бизнеса и партнеров;
- ИТ-команды и пользователей.
Современные технологии бизнеса и, как следствие информационные, в информационном обществе развиваются очень быстрыми темпами, инициатор бизнес- и ИТ-проекта зачастую изначально сам не до конца понимает, что именно получит по завершении проекта, потому что видение конечной цели формируется после значительного объема экспериментов и проверки гипотез.
Если не наладить не решить проблему взаимодействия бизнеса с ИТ-командой, то значительным образом возрастет объем работ, увеличатся сроки разработки, увеличится бюджет
любого проекта. То есть полученный результат по всем параметрам разойдется с ожиданиями.
С этой целью аудитору перед выработкой управленческих рекомендаций необходимо учесть следующие аспекты:
- необходимо точно определить всех стейкхолдеров проекта, то есть все заинтересованные стороны и лица, которые имеют определенные требования и ожидания в отношении проекта и, что не менее важно, могут на него повлиять (с финансовой, организационной, регулятивной точки зрения). Основная задача аудитора в данном случае заключается в том, чтобы выявить их ожидания и опасения. Это позволит исключить ситуацию, когда на завершающем этапе работ вдруг окажется, что все, что было сделано, не устраивает одного из ключевых стейкхолдеров, который до этого момента не принимал активного участия в проекте;
- необходимо создать единое информационное поле для стейкхолдеров и участников проекта. Вся исходная информация и договоренности по проекту должны быть задокументированы, и визуализированы. Во-первых, потому, что визуальная информация лучше воспринимается. Во-вторых, всегда можно будет вернуться к задокументированному исходному варианту в случае возникновения спорных моментов. Сформированная аудитором Дорожная карта проекта, отражающая цель, задачи и очередность их реализации и находящаяся в общем доступе, будет обеспечивать единое представление о проекте у всех, кому эта информация необходима, быстро даст ответы на многие вопросы, что сэкономит время на коммуникации для выяснения деталей;
- необходимо выполнить разбивку проекта на небольшие циклы работы. Работа в режиме коротких итераций позволяет оперативно выявить риски, проблемы и, что особенно важно, скорректировать их. Следует учитывать, что чем больший объем работ будет сделан до того, когда станет известно о проблеме, тем дороже обойдется исправление возникшей ситуации. За счет коротких периодов такие дополнительные расходы существенно уменьшаются;
- исследовать регулярность обратной связи, которая в любом бизнесе как правило обеспечивается за счет ежедневных отчетов руководителя проекта, еженедельных демонстраций прогресса и результатов работ. В результате все заинтересованные лица регулярно могут получать информацию о том, что происходит на проекте. Указанная отчетность полезна и для самой команды.
Выполняя риск-ориентированный подход, а также как и при классическом цикле аудиторского исследования аудитору необходимо учитывать особенности самой ИТ-отрасли. При этом важно понимать, что:
- ИТ-отрасль на современном этапе развития общества является относительно молодой сферой;
- исследования в ИТ-сфере осуществляются постоянно. При этом инновации внедряются быстро;
- темпы роста очень высокие. Однако это влечет за собой и весьма значительные риски:
- нехватка наработанного опыта;
- дефицит высококвалифицированных специалистов;
- недостаток унифицированных отраслевых стандартов.
Выполняя аудит ИТ-проекта аудитору, необходимо учитывать, что указанный проект осуществляется на фоне постоянного прикладного исследования. Разработка прототипов, тестирование гипотез, создание MVP все это необходимо, чтобы получить на выходе продукт, который будет эффективно работать и приносить прибыль. Однако любой исследовательский процесс влечет за собой риски, связанные с неопределенностью и непредсказуемостью. Такой исследовательский характер связан с тем, что современные пользователи избалованы многообразием, которое предлагает им рынок. Они привыкли к тому, что цифровые продукты и сервисы доступны здесь и сейчас, удобны в использовании и безопасны. К тому же на восприятие цифровых продуктов влияет глобализация. Технологии, которые существуют два-три года и не раз успешно использовались, могут потерять интерес потребителей на фоне новых решений. И такие скоростные изменения означают, что
АУДИТ ИНФОРМАЦИОННЫХ СИСТЕМ -
РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД Ситнов А. А.
всегда есть риск опоздать. При такой конкуренции неправиль- Список литературы:
ная оценка ситуации на рынже заДержка в выпУске на рынок Каширская Л.В. Концепция аудита XXI века. Вектор развития: межву-или недостатки, влияющие на качество, могут стать для про- зовская монография для студентов, обучающихся по направлениям дукта губительными. подготовки «Экономика», «Менеджмент», квалификация «магистр»
/ Л.В. Каширская, А.А. Ситнов. - М.: ЮНИТИ-ДАНА, 2019. - 271 с. Ситнов А.А. Аудит информационных систем: монография для магистров / А.А. Ситнов, А.И. Уринцов. - М.: ЮНИТИ-ДАНА, 2014. - 239 с. Ситнов А.А. Аудит XXI века - миф или реальность // А.А. Ситнов. -Аудитор, 2018, № 2 (275). - с. 16 - 21.
Статья проверена программой «Антиплагиат». Оригинальность 81,27%.
INFORMATION SYSTEMS AUDIT-RISK-ORIENTED APPROACH
©Sitnov Alexey Alexandrovich, Doctor of the Economic Sciences, Professor of Department of Accounting, Analysis and Audit Work place: Financial University under the Government of the Russian Federation
ASitnov@fa.ru
Annotation
Task. The article considers the rules of audit of business information systems, based on the methodology of the international standard COBIT in the conditions of formation of the information society of its Russian segment. The features of the risk-based approach in the transition to universal digitalization are assessed, and the main directions of development of this approach are identified. The problem is that the methodology of COBIT does not disclose the essence and algorithms of this approach and allows its application individually in each specific audit of the information system of any business.
Research has shown that in order to manage effectively, it is necessary to get a proper understanding of what to manage. Therefore, the auditor first needs to identify potential problems and factors that may affect the management process and outcome. Model. The article studies modern approaches build a model of auditor risk assessment where the audit criteria are based on risk assessment, allowing to combine the power of modern management techniques and professional knowledge of the auditor. Summary. The conclusion is made that performing audit of the it project to the auditor, it is necessary to consider that the specified project is carried out against constant applied research. Development of prototypes, testing of hypotheses, creation of MVP all this is necessary to receive at an output a product which will work effectively and bring profit. However, any research process entails risks associated with uncertainty and unpredictability.
Practical importance. The practical significance of the article is that the conclusions and proposals are aimed at real optimization of modern audit of business in General and audit of information systems in particular.
Originality. The study conducted by the authors revealed that the research nature of modern audit is associated with the fact that modern users of its services are spoiled by the diversity that the market of consulting services offers them. They are used to the fact that digital products and services are available here and now, easy to use and secure. In addition, the perception of digital products is influenced by globalization. Technologies that have existed for two or three years and have been successfully used more than once may lose the interest of consumers against the background of new solutions. And such speed changes mean there is always a risk of being late. In such a competition, a misjudgment of the market situation, a delay in market release, or deficiencies affecting quality can be detrimental to the product. The approach proposed in the article to the audit of information systems allows to exclude these difficulties arising from it consumers.
Keywords: audit, information systems, it technologies, business risk, it risk, risk analysis model, countermeasures.
Reference list:
1. Kashirskaya L. V. the concept of audit of the XXI century. Vector of development: Intercollegiate monograph for students studying in the areas of training «Economics», «Management», qualification «master» /
L. V. Kashirskaya, A. A. Sitnov. - Moscow: UNITY-DANA, 2019. - 271 p.
2. Sitnov A. A. Audit of information systems: monograph for masters / A. A. Sitnov, A. I. Urintsov. - Moscow: UNITY-DANA, 2014. - 239 p.
3. Sitnov A. A. Audit of the XXI century-myth or reality / A. A. Sitnov, - Auditor, 2018, No. 2 (275). - p. 16 - 21.
