Інспекційні методи аудиту інформаційних технологій Текст научной статьи по специальности «Экономика и бизнес»

РЛ. УС,

к.е.н., старший викладач кафедри ¡нформацйного менеджменту, Ки1вський нацональний економЧний унверситет ¡м. Вадима Гетьмана

1нспекцшш методи аудиту ¡нформацшних технолопй

Стаття присвячена доспдженню й узагальненню сукупност ¡нспекц/йних метод/в аудиту ¡нформа^йних технологий. На-дано рекомендацн щодо практичного використання запропонованих ¡нспекц/йних метод/в при проведенн аудиту 1Т-се-редовища орган '1зацп як ц1П1сно'1 складно1 системи.

Ключов! слова: Т-аудит, методичне забезпечення 1Т—аудиту, метод 1Т—аудиту, iнспекцйнi методи 1Т—аудиту.

Р.Л. УС,

к.э.н., старший преподаватель кафедры информационного менеджмента, Киевский национальный экономический университет им. Вадима Гетьмана

Инспекционные методы аудита информационных технологий

Статья посвящена исследованию и обобщению совокупности инспекционных методов аудита информационных технологий. Предоставлены рекомендации по практическому использованию предложенных инспекционных методов при проведении аудита ИТ-среды организации как целостной сложной системы.

Ключевые слова: ИТ-аудит, методическое обеспечение ИТ-аудита, метод ИТ-аудита, инспекционные методы ИТ-аудита.

R.L. US,

Ph.D., Senior Teacher of the Informational Management Department, Vadym Hetman Kyiv National Economic University

IT-audit inspection methods

Article is dedicated to research and compile aggregate of the IT-audit inspection methods. Attached recommendations for the practical use of the proposed inspection methods for auditing the IT environment of the organization as an integrated complex system.

Keywords: IT-audit, IT-audit methodical maintenance, IT-audit method, IT-audit inspection methods.

Постановка проблеми. Вщповщно до узагальненого ви-значення сутност аудиту ¡нформацмних технолопй [IT—аудиту) [4] метою його проведення е незалежна експертиза IT-середовища органваци, а також надання його замовнику об'ективного висновку ¡ профеайних рекомендацм на основ¡ з^раних аудиторських доказв. При цьому пщ аудиторськими доказами розум^ть виявлен ¡ задокументован у процеа ви-конання аудиторських процедур факти щодо об'екта IT-аудиту.

Для збору аудиторських доказв у процеа аудиту ¡нформа-цмних технолопй його виконавц (IT-аудитори) вдаються до використання рвномаытних ¡нспекцмних методв [2], сут-нють яких полягае у використанн виконавцем аудиту спецЬ альних методичних прийомв ¡ способв обстеження.

Результати використання ¡нспекц¡йних методв при проведен-н¡ конкретних процедур (заходв) IT-аудиту мають бути належ-ним чином задокументованими. При цьому пщ аудиторською документац¡ю розум¡ють записи у форм¡ в¡дпов¡дних документ¡в [також вживаеться терм¡н «робоч¡ документи») щодо виконаних аудиторських процедур ¡ виявлених суттевих доказ¡в.

Зважаючи на сучасне широке р¡зноман¡ття арсеналу ¡н-спекфйних метод¡в IT-аудиту, а також беручи до уваги зрос-тання необхщност проведення аудиту IT-середовища орга-нвацм як ц¡л¡сноï складноУ системи [5], доцтьно узагальнити сукупн¡сть таких методв ¡ виокремити з Ух числа ù що е най-бтьш необх¡дними ¡ достатн¡ми для високояюсного та про-фес¡йного виконання вщповщних аудиторських процедур.

Метою статт! е досл¡дження й узагальнення сукупност ¡нспекцмних метод¡в аудиту ¡нформац¡йних технолог¡й, а також надання рекомендацм щодо Ух практичного використання, зокрема, при проведены аудиту IT-середовища органЬ заци як цтюноУ складноУ системи.

Виклад основного матер!алу. Анал^уючи науко-в¡ ¡ практичн¡ джерела з проблематики аудиту ¡нформацм-

них технолопй, зокрема застосування ¡нспекцмних метод¡в у процеа його проведення [1-14 та ¡н.], а також вщповщно до узагальненоУ класифкаци метод¡в IT-аудиту [2], пропо-нуемо для збору аудиторських доказв при проведенн¡ аудиту IT-середовища оргаызацп як цтюноУ складно'!' системи використовувати таю ¡нспекцмы методи, як анкетування, ¡нтерв'ю, ф^ична перев¡рка, побудова структурних схем, комп'ютеризована пщтримка проведення аудиту, аудитор-ськ тести, аудиторська виб¡рка та залучення ¡нших експер-т¡в. Розглянемо Ух детальнее.

Анкетування [Questionnaires) - метод отримання аудиторських доказв у процеа IT-аудиту шляхом письмового опиту-вання (¡з застосуванням анкетних листв) конкретних виконав-ц¡в б¡знес-функц¡й в органваци [в¡д оператор¡в б¡знес-процес¡в до вищого кервництва), як¡ використовують IT у повсякденый робот¡ або взаемод^ть з IT-середовищем у будь-який ¡нший спос¡б. При цьому фокус-група опитуваних може бути максимально широкою. За рвнем достов¡рност¡ отриманих аудиторських доказв анкетування поступаеться ¡ншим ¡нспекц¡йним методам IT-аудиту, однак е одним ¡з найчаст¡ше вживаних.

На практик цей метод зазвичай застосовують для отримання «грубого» [загального, поверхневого) уявлення про IT-середовище органваци, його функцюнальы елементи, «вузьк¡ мюця» тощо. Результати анкетування слугують пщ-Грунтям для виокремлення елемент¡в IT-середовища, як потребують детальноУ аудиторськоУ перев^ки.

Для проведення анкетування аудитор мае передати за-здалег¡дь розроблен¡ анкети кервникам структурних пщ-розд¡л¡в в органваци. 0станн¡ мають орган¡зувати само-опитування Ух п¡длеглих ¡ по™ передати заповнен¡ анкети аудитору. Респонденти можуть заповнювати анкети безпо-середньо на робочому мюц у зручний для них час, однак у межах встановленого аудитором строку Ух повернення.

130 Формування ринкових вщносин в УкраУнл № 11 (162)/2014

© РЛ. УС, 2014

Анкет може бути як ктька тематичних, так i одна комплексна. Питания мають бути чiткими i максимально зрозумти-ми для бiльшостi опитуваних та стосуватися 1Т-середовища органiзацií в цтому з метою надання можливостi аудитору сформувати загальне уявлення про його пiдсистеми, елемен-ти, процеси тощо. У текст анкети мае бути роз'яснена специ-фiчна термiнологiя (якщо така присутня у запитаннях), а також надана чггка iнструкцiя щодо правильного и заповнення.

Зазвичай запитання анкет ставляться у закри™ формi з метою отримання конкретно'!' вщповд яка цiкавить аудитора. Ктьюсть запитань мае бути обмеженою, зокрема, таким чином, щоб обсяг анкети не перевищував трьох сторЫок, для отримання максимально обдуманих i достовiрних вщповщей.

В анкетах обов'язково мають бути окремi графи для щен-тифiкацií анкетованого, його посади i пiдроздiлу, у якому вiн працюе. Також до заповнено'!' анкети опитуван мають дода-вати шаблони документв, з якими працюють у повсякден-нiй роботi.

1нтерв'ю (Interview) - метод отримання аудиторських дока-зiв у процесi 1Т-аудиту шляхом усного опитування конкретних виконав^в бiзнес-функцiй в оргаызаци (вiд операторiв бiзнес-процеав до вищого керiвництва), якi використовують 1Т у по-всякденнiй роботi або взаeмодiють з 1Т-середовищем у будь-який iнший спосiб. На практик цей метод вважаеться одним iз найефективнiших для отримання достовiрних аудиторських доказiв, однак потребуе ретельно' пiдготовки, а також високих комункативних i професiйних навичок аудитора тощо.

Перед застосуванням цього методу аудитор повинен, по-перше, переконатись, що Ыформа^я, яку вiн очiкуe отрима-ти у результатi проведення Ытерв'ю, не може бути отрима-на в Ыший, простiший або ефективыший спосiб. По-друге, необхiдно чiтко визначити цо проведення iнтерв'ю, а також яким чином '¿'х досягнення реалiзуe загальну мету та цiлi 1Т-аудиту. По-трете, необхiдно визначити персонал органiзацií, який зможе найкращим чином забезпечити надання необ-хщно'!' Ыформацп з максимальним рiвнем достовiрностi. Для встановлення таких респонденлв можуть бути застосова-н органiзацiйнi дiаграми. По-четверте, аудитор мае органЬ зовувати iнтерв'ю таким чином, щоб Ыформа^ю загального характеру запитували на початку та вюнц Ытерв'ювання, а конкретну (специфiчну) - в серединк

З метою мiнiмiзацií будь-яких стороннiх впливiв на змiст вщповщей Ытерв'ювання кожного респондента зазвичай проводиться аудитором Ыдивщуально в окремому примщен-нi. Запитання мають охоплювати ва ключовi функцiональнi пiдсистеми 1Т-середовища оргаызаци, зокрема в тих аспектах, як цiкавлять замовника 1Т-аудиту найбтьше, вiдповiдно до поставлених цiлей, завдань та обмежень аудиту тощо. Вони зазвичай ставляться у вщкри™ формi з метою отримання вичерпно'!' персонально' вщповр, а також особисто' думки i побажань опитуваного. Ктьюсть запитань та час проведення Ытерв'ю мають бути обмеженими i достатнiми для отримання лаконiчних вщповщей щодо уах важливих аспектiв.

До найбтьш загальних запитань iнтерв'ю при проведены 1Т-аудиту можна вiднести таю:

- П1Б, посада, пiдроздiл, де працюе опитуваний;

- як функцюнальн обов'язки виконуе опитуваний i в якому бiзнес-процесi (або бiзнес-процесах);

- яко'1' ¡нформацп (nocTiéHoï/nepioflè4Hoï, нормативно-до-BiflKOBOï, оперативно' тощо) потребуе опитуваний для вико-нання сво'х oбoв'язкiв;

- яку ¡нформафю генеруе опитуваний i для яких цтей;

- яку ¡нформа^ю опитуваний передае ¡ншим ствробгтни-кам i для яких цтей;

- як IT застосовуе опитуваний для виконання свое' роботи;

- яким чином опитуваний взаeмoдie ¡з cпiвpoбiтниками IT-пiдpoздiлу;

- якi засоби IT-безпеки застосовуе опитуваний у робот;

- яких пoлiтик, правил, ¡нструкцм щодо використання IT, зокрема IT-безпеки, повинен дотримуватись опитуваний;

- чи задоволений опитуваний використанням IT у роботу яку користь вони приносять та як пщвищують продуктивнють i яюсть його пpацi;

- як cкладнoщi, iнцидeнти i проблеми ¡з використанням IT виникали в опитуваного, як вони усувалися, за який перюд часу та якою була участь IT-пщроздту в ïx виршены;

- якi побажання хоче висловити опитуваний щодо покра-щення IT-середовища тощо.

Уci ¡нтерв'ю при проведены IT-аудиту мають ретельно го-туватись, запитання до кожного опитуваного детально про-думуватись. Зокрема, опитування cпiвpoбiтникiв piзниx пiд-poздiлiв мають враховувати специфку тих бiзнec-пpoцeciв, в яких вони беруть участь. При цьому найбтьша увага мае бути придтена ¡нтерв'юванню пpацiвникiв IT-пiдpoздiлу як одного ¡з основних джерел отримання необхщних аудиторських дoказiв щодо IT-середовища об'екта аудиту.

Hайважливiшими аспектами для виявлення аудиторських дoказiв за допомогою ¡нтерв'ю е такi: внутpiшнi i зовншы ¡н-фopмацiйнi потоки, яю забезпечують функцioнування орга-нiзацiï, а також iï взаeмoдiю з ¡ншими зoвнiшнiми об'ектами; cтpатeгiя розвитку IT-середовища для досягнення цтей бiз-несу (IT-стратепя); програмне забезпечення (iнфopмацiйнi системи, сервюы додатки тощо), яке застосовуеться для за-доволення потреб бiзнecу; сховища електронно' ¡нформацГ' (сховища даних, бази даних, файл-сервери, пoштoвi сервери, мepeжeвi диски cпiльнoгo користування, системи управлЫня каталогами даних та ¡н.); peальнi функцiï структурних пiдpoздi-лiв opганiзацiï, ïx взаемозв'язки i взаемозалежнос^ тощо.

Фiзична пepeвipка (Physical inspection) - метод отримання аудиторських дoказiв у процеа IT-аудиту шляхом фiзичнoгo (вiзуальнoгo) спостереження наявнocтi, мicця розташуван-ня, стану i використання матepiальниx активiв IT-середови-ща opганiзацiï. При проведены IT-аудиту фiзичнi докази за-вжди е бiльш значимi, ыж будь-якi iншi, тому ïx забезпечення у достатньому oбcязi мае бути одним ¡з пpiopитeтiв аудитора. До об'екпв застосування цього методу слщ вiднecти:

- пpимiщeння серверних юмнат, дата-цeнтpiв (data center), кoмутацiйниx юмнат (або шаф), систем резервного/автономного енергозабезпечення, сховищ паперово^ документацГ: (ар-xiвiв, картотек та ¡н.), oфiciв i cкладiв служб IT-пiдpoздiлу тощо;

- обладнання та комплектую^ - комп'ютерне, мережеве i тeлeкoмунiкацiйнe обладнання, засоби ризик-менеджмен-ту IT щодо захисту фiзичнoгo доступу (кoдoвi замки офюних пpимiщeнь, пepcoнальнi ключi доступу, камери спостереження та ¡н.), засоби охорони безпеки пра^ (детектори диму, вологи, вогнегасники) тощо;

Формування ринкових в1дносин в YKpaÏHi № 11 (162)/2014 1 31

- оргаызацмну документа^ю (на паперових ноаях) - положения про бiзнеc- та 1Т-стратепю, мoделi й опис бiзнеc-та 1Т-процеав, положення про oрганiзацiйну структуру та функцюнальн обов'язки персоналу 1Т-пщроздту, проектна дoкументацiя щодо розроблення i впровадження 1Т, внутрш-нi правила, Ыструкци щодо 1Т-середовища oрганiзацiï тощо;

- операцмну дoкументацiю (на паперових ноаях) щодо розроблення i придбання програмного забезпечення, Ы-формацмних систем та iншиx 1Т, сервюного обслуговування комп'ютерного обладнання й Ыших впроваджених Ыфор-мацiйниx теxнoлoгiй, а також внутршнього сервю-менедж-менту 1ТНнфраструктури (Service Desk), наприклад, «тiкети» (tickets) служби техычно''' пiдтримки IТ-пiдрoздiлу (вхщн за-пити вiд клieнтiв IТ-cервiciв) тощо;

- внутрiшнiй мoнiтoринг 1Т-середовища (на паперових но-ciяx) - звiтнicть про динамiку навантажень на ^Инфраструктуру, мережевий «трафiк», Ыциденти IТ-iнфраcтруктури (збо''' та поломки обладнання, ПЗ, Ыформацмних систем, мереж тощо), Ыциденти IТ-пiдрoздiлу (пoмилкoвi, злoвмиcнi або шахрайсью дм IТ-перcoналу тощо), Ыциденти IТ-безпеки (не-cанкцioнoваний доступ, вiруcнi i мережевi атаки) та к

Найважлившими аспектами фiзичнoï перевiрки в !Т-аудит е такi, як: Ывентариза^я обладнання та комплектуючих ïï-се-редовища оргаызаци; виявлення заxoдiв ризик-менеджмен-ту !Т щодо фiзичнoгo доступу; дотримання норм ергoнoмiч-нocтi i безпеки робочого середовища кoриcтувачiв IТ та к

Побудова структурних схем (Flowcharts) - метод отримання аудиторських дoказiв у процес IТ-аудиту шляхом побу-дови (графiчнoгo зображення) структурних схем (блок-схем або моделей) складових !Т-середовища оргаызаци (пщсис-тем, функцюнальних елементiв, прoцеciв тощо). Це дае змо-гу найбiльш наочно (тюстративно), зокрема для замовника аудиту, виявити/вщстежити cильнi i cлабкi сторони об'екта аудиту (IТ-cередoвища).

На практицi такий метод зазвичай застосовують для вщ-стеження вузьких мicць контролю ризиюв IТ-cередoвища (IТ-ризикiв). Для цього аудитор, перш за все, мае обрати методику побудови структурних схем, яка б дозволила найбтьш наочно i зрозумто зобразити специфку елементв середовища Ыформацмних теxнoлoгiй, виявлених !Т-ризиюв, впроваджених заxoдiв ризик-менеджменту !Т (IТ-кoнтрoлiв) тощо. Далi аудитор мае визначитись iз дocтатнiм рiвнем де-талiзацiï для вiдoбраження уcix важливих елементiв системи ризик-менеджменту IТ (системи IТ-кoнтрoлiв), але так, щоб структуры схеми не були перенасичен зайвим змютом. По-тiм неoбxiднo побудувати головну схему (primary flowchart] функцюнальних елементв !Т-середовища, так, щоб кожен з них був легко вщстежуваним i зрoзумiлим. На останньому кроц на ocнoвi головно' схеми необхщно побудувати струк-турнi схеми контролю !Т-ризиюв (control flowchart).

Комп'ютеризована пщтримка проведення аудиту (Computer assisted audit techniques - CAATs) - метод отримання аудиторських дoказiв у процес !Т-аудиту шляхом застосування вщповщних програмних заcoбiв. Hинi як та-кi засоби можуть бути використанк функцioнал програмного забезпечення замовника аудиту (наприклад, аналггичн1 функци Ыформацмних систем, СУБД, cерверiв, Service Desk тощо); утилгги для вилучення та оброблення даних (програм-

нi агенти, сервюн додатки, «скрипти» тощо); cпецiалiзoване програмне забезпечення пiдтримки процесу аудиту та Ы.

Застосування заcoбiв комп'ютеризовано' пiдтримки при прoведеннi заxoдiв !Т-аудиту забезпечуе його виконав-цю таю переваги: по-перше, мoжливocтi автоматизованого пошуку, перевiрки, oцiнювання, аналiзу та генерування звЬ тiв щодо суттево' для аудиторського висновку Ыформаци; по-друге, можливост автоматизованого виконання повто-рюваних (рутинних) аудиторських процедур щодо даних на електронних ноаях, зменшуючи при цьому ймoвiрнicть при-пускання помилок аудитором; по-трете, екoнoмiю трудових, часових й Ыших реcурciв на проведення аудиту; по-четвер-те, загальне пiдвищення якост i дocтoвiрнocтi результатiв IТ-аудиту тощо.

Доцтьнють i зростаюча неoбxiднicть застосування такого методу для збору аудиторських дoказiв обумовлена погли-бленням комп'ютеризаци бiзнеc-прoцеciв oрганiзацiй i, вщ-повщно, Ыформаци щодо ïx виконання. Однак ршення про застосування тих або Ыших CAATs при прoведеннi заxoдiв аудиту обов'язково мае бути узгодженим iз його замовником.

Аудиторсью тести (Audit tests) - метод отримання аудиторських дoказiв у процес IТ-аудиту шляхом проведення перевiрки функцioнальниx елементiв IТ-cередoвища орга-ызаци iз застосуванням контрольних теcтiв. Зазвичай та-кi тести готуються у виглядi таблицi, в oднiй iз колонок яко' зазначаються запитання (або об'екти/цо) контрольно' пе-ревiрки (control objectives), а в Ы|±лй залишаеться мicце для занесення виявлено' аудитором вщповр або вiдмiтки про виконання. На практик рoзрiзняють два види аудиторських теств [3, 10, 12]: на вщповщнють (compliance tests) i деталЬ зoванi (substantive tests).

Тести на вщповщнють - призначенi для вибiркoвoï (по-верхнево') перевiрки функцюнальних елементв ^-серед-овища оргаызацп на предмет пщтвердження або спросту-вання ïx вiдпoвiднocтi встановленим стандартам, еталонним практикам, правилам тощо. Застосування в цих тестах методу аудиторсько' вибiрки, який буде розглянутий дал^ до-зволяе бiльш рацioнальнo використовувати ресурси аудиту, виявляючи в !Т-середови1р найбтьш «проблемы» елемен-ти, не вдаючись до детального дослщження i аналiзу кожно' iз його складових. Таю тести зазвичай застосовуються для перевiрки вщповщност системи ризик-менеджменту !Т в оргаызацп прописаним пoлiтикам, правилам тощо. Наведе-мо приклади контрольних запитань теств IТ-аудиту на вщ-пoвiднicть:

- чи виконуеться перюдична змiна парoлiв доступу до Ы-фoрмацiйниx систем;

- чи виконуеться перюдична перевiрка автоматичних ре-ecтрiв системних i програмних помилок, вiруcниx та мере-жевих атак;

- чи допускаються змЫи програм i даних неавторизова-ними користувачами тощо.

Деталiзoванi тести - призначен для бiльш глибоко' (детально') перевiрки функцioнальниx елементiв !Т-середови-ща оргаызацп, зокрема, на ocнoвi результатiв проведених теcтiв на вщповщнють, з метою виявлення суттевих помилок, упущень, порушень встановлених пoлiтик, правил, вимог тощо. Тобто на практик обсяг необхщних деталiзoваниx тес-

132 Формування ринкових вщносин в УкраУнл № 11 (162)/2014

т¡в IT-аудиту визначають за результатами тестувань на вщ-повщнють. Hаприклад, за результатами тестування системи ризик-менеджменту IT на вщповщнють прописаним полгти-кам ¡ правилам може виявитися потреба в бтьш детальному досл¡дженн¡ ¡ анал¡з¡ и окремих елемент¡в [процес¡в управлЫ-ня доступнютю систем, резервного коп¡ювання даних тощо).

Аудиторська виб^ка [Audit sampling) - метод отримання аудиторських доказв у процеа IT-аудиту шляхом вщбору де-якоУ множини елемент¡в ¡з генеральноУ сукупност¡ даних щодо тих або ¡нших функц¡ональних складових IT-середовища органваци з метою перев^ки певних характеристик, що прита-манн ус¡й сукупност¡. Практичне застосування цього методу при проведены аудиторських процедур мае ряд таких пере-ваг: по-перше, зниження ризику проведення надм^ноУ кть-кост¡ аудиторських заход¡в; по-друге, швидке опрацювання великих обсяг¡в ¡нформаци щодо об'екта аудиту на основ¡ вЬ д^раноУ множини репрезентативних елементв ¡з генераль-ноУ сукупност¡ даних; по-трете, реал¡зац¡я одного ¡з головних принципв аудиту - «отримати необхщний м¡н¡мум аудиторських доказ¡в, достатых для формування думки аудитора».

Hайб¡льш поширеними при проведенн¡ заход¡в IT-ауди-ту е так¡ види аудиторськоУ виб^ки: виб¡рка за властивими характеристиками/атрибутами [attribute sampling), виб^ка за невластивими характеристиками [variable sampling) ¡ ста-тистична виб¡рка [statistical sampling).

Виб^ка за властивими характеристиками - застосову-еться, як правило, в аудиторських тестах на вщповщнють для вщбору ¡з генеральное сукупност¡ даних множини елементв, яким притаманна певна атрибутика [тобто як вщ-повщають певним критер¡ям, вимогам тощо). ^приклад, такий вид аудиторськоУ виб¡рки може бути застосований для вщбору транзакцм певного IT-процесу, дан¡ яких по-винн¡ бути захищеними алгоритмом шифрування з метою подальшоУ Ух детальноУ перев¡рки, зокрема щодо над¡йност¡ цього алгоритму тощо.

Виб^ка за невластивими характеристиками - застосову-еться, як правило, в аудиторських деталвованих тестах для в¡дбору ¡з генеральное сукупност¡ даних множини елементв, яким притаманн певн¡ в¡дхилення вщ встановлених критерЬ Ув, правил, вимог тощо. ^приклад, такий вид аудиторськоУ виб^ки може бути застосований для вщбору транзакцм певного IT-процесу, як були виконан¡ з порушенням вста-новленоУ процедури авторизаци Ух виконавця з метою формування аудиторськоУ думки про загальний рвень ризик-менеджменту цього процесу тощо.

Виб^ка статистична - може застосовуватись у рвнома-нггних аудиторських процедурах. ÏÎ суть полягае у випадко-вому в¡дбор¡ [random selection) множини елементв ¡з ге-неральноУ сукупност¡ даних, за яким кожен елемент мае однаков¡ шанси потрапити у виб^ку.

Залучення ¡нших експерт¡в/консультант¡в [Using the work of other experts/consultants) - метод отримання аудиторських доказв у процеа IT-аудиту шляхом застосування прац або рекомендацм рвномангжих експертв. При цьому вони можуть бути як зовышыми в¡дносно органваци [замов-ника аудиту), так ¡ внутршыми.

Hа практиц¡ цей метод зазвичай застосовують у випадку необхщност залучення спец^льних фахових або галузевих

знань та практичних навичок для профеайного оцЫювання певних аспект¡в IT-аудиту, в яких компетентнють аудитора е недостатньою для отримання висновкв належного рвня якост¡ ¡ достов¡рност¡. Tакож залучення ¡нших експертв може застосовуватись з метою делегування частини роботи IT-аудитора на аутсорсинг для прискорення ïï виконання тощо.

0сновною перевагою застосування цього методу е мож-лив¡сть зосередити ресурси IT-аудиту на найважливших його аспектах, в¡дпов¡дно до поставлених цтей, завдань й обмежень аудиту тощо, а також пщвищити загальний р¡вень обгрунтованост ¡ впевненост у його результатах.

0днак недолком е необх¡дн¡сть укладання ряду додаткових угод ¡з замовником аудиту щодо меж застосування роботи залучених експертв, Ух вщповщальноси прав доступу тощо. Кр^ цього, результати роботи залучених експертв, а також думка аудитора щодо рвня Ух надмност обов'язково мають бути зазначен в аудиторському висновку окремим параграфом ¡з вщповщними коментарями.

Ршення про застосування такого методу мае прийматись та узгоджуватись ¡з замовником аудиту належним чином [у документально форм¡) до початку виконання аудиторських процедур. 0сюльки якщо аудитор усвщомить таку необхщ-н¡сть п¡зн¡ше, в¡н може витратити значний обсяг часу, вщ-веденого для проведення аудиторських процедур, на узго-дження вс¡х формальностей ¡з замовником та експертами. Tому кожного разу перед початком проведення IT-аудиту його виконавець обов'язково мае розглянути необхщнють ¡ можливють залучення прац або консультац¡й ¡нших експертв, оц¡нити Ух квал¡ф¡кац¡ю, компетентн¡сть, досвщ, ресурси, незалежн¡сть та як¡сть роботи тощо.

Висновки

Aудиторськ¡ докази, з^раы ¡з застосуванням розглянутих вище ¡нспекфйних метод¡в IT-аудиту, е важливим пщгрунтям для формування аудиторського висновку ¡ рекомендац¡й. 0днак у конкретному випадку аудиту вони е лише первин-ним матер¡алом, який потребуе додаткового профеайного оброблення ¡з застосуванням рвноманггних анал™чних метод¡в аудиту ¡нформацмних технолог¡й з метою отримання об'ективноУ аналг™чноУ ¡нформаци [св¡доцтв аудиту) щодо IT-середовища органваци.

Список використаних джерел

1. Васильев Р.Б. Управление развитием информационных систем: стратегический аудит состояния информационных систем / Р.Б. Васильев, H.r. Кальянов, Г.А. Левочкина [Електрон. ресурс]. - Режим доступу: http://www.intuit.ru/department/itmngt/ mandevisys/3/1.html

2. Лазарева С.Ф. Методолопчне i методичне забезпечення аудиту ¡нформацмних технолопй / С.Ф. Лазарева, Р.Л. Ус // Формування ринкових вщносин в УкраУнг зб. наук. праць. - К.: HДEI, 2012. - Вип. 1 [128). - С. 117-125.

3. Мжнароды стандарти контролю якосй аудиту, огляду, ¡ншого надання впевненост та супутнк послуг [том 1, том 2): Видання 2010 року // Пер. з англ. - К. ТОВ «АМЦ АУ «Статус», 2010.

4. Ус Р.Л. Аудит ¡нформацмних технолопй - новий вид аудиту ор-ганкзацм / Р.Л. Ус // Формування ринкових вщносин в УкраУнг зб. наук. праць. - К.: HДEI, 2013. - Вип. 1 [140).

Формування ринкових вщносин в УкраУы № 11 (162)/2014 1 33

5. Óc P.n. Mofleëi xoëicTMHHoro ayflèTy ¡HôopMaqiéHMX TexHOëorié / P.Ë. Óc // ÔopMyBaHHH pmhkobmx b¡ahocmh b ÓKpaí'H¡: 36. HayK. npaqb. - K.: HflEI, 2011. - Bèn. 5 (120). - C. 147-153.

6. COBIT 4.1 // IT Governance Institute, 2007. - 196 p.

7. Enterprise Value: Governance of IT Investments - The Val IT Framework 2.0 // IT Governance Institute, 2008. - 119 p.

8. Information technology - Security techniques - Information security risk management - BS ISO/IEC 27005:2008 // BSI, 2008. - 64 p.

9. ITIL v.3 - Lifecycle Publication Suite // OGC, 2007. - 1200 p.

10. Introduction to IT Audit Student Notes // INTOSAI, 2007. - 45 p.

11. IT Methods Student Notes // INTOSAI, 2007. - 97 p.

12. IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals // ISACA, 2010. - 330 p.

13. The Business Model for Information Security // ISACA, 2010 - 73 p.

14. The Risk IT Framework // ISACA, 2009. - 107 p.

Л.Л. ЛИТВИНЕНКО,

к.е.н., доцент кафедри менеджменту зовн1шньоеконом1чно'1 дяльностi п\дприемств, Нацональний ав\ац1йний унверситет

Управлшня потенщалом ¡нтеграцп ав1акомпанм в умовах м1жнародного конкурентного середовища

Ó статт автором доcлiдженi основн актуальнi проблеми управлння потен^алом нтеграцИ' авiакомпанiй в умовах за-гострення конкуренцп на мжнародних ринках, визначенi перспективи реапзацй стратегй iнтегрaцiï для забезпечення довгострокового розвитку впчизняних авiакомпанiй, доспджено передумови та послщов^сть приеднання нацюнальних авiакомпанiй до глобальних авiацiйних альянсов, проанапзованi особливост поеднання взаемних нтереав aвiaкомпa-нй - учасниць альянсов i ризики cпiвпрaцi aвiaкомпaнiï в альянсi.

Ключов1 слова: потенцал iнтегрaцiï, aвiaкомпaнiя, управлння потен^алом, стратепчний альянс.

Л.Л. ЛИТВИНЕНКО,

к.э.н., доцент кафедры менеджмента внешнеэкономической деятельности предприятий,

Национальный авиационный университет

Управление потенциалом интеграции авиакомпании в условиях международной конкурентной среды

В статье автором исследованы основные актуальные проблемы управления потенциалом интеграции авиакомпаний в условиях обострения конкуренции на международных рынках, определены перспективы реализации стратегий интеграции для обеспечения долгосрочного развития отечественных авиакомпаний, исследованы предпосылки и последовательность присоединения национальных авиакомпаний к глобальным авиационным альянсам, проанализированы особенности взаимного сочетания интересов авиакомпаний - участниц альянсов и риски сотрудничества авиакомпании в альянсе.

Ключевые слова: потенциал интеграции, авиакомпания, управление потенциалом, стратегический альянс.

L.L. LYTVYNENKO,

Ph.D. associate professor of the Management of Foreign Economic Activity of Enterprises Department,

Institute of Economics and Management, National Aviation University

Airline integration potential management in terms of international competitive environment

In the article the author has investigated the main current problems of integration potential management of airlines in terms of increased competition in international markets, identified the prospects of implementation integration strategies providing long-term development of domestic airlines, researched the background and stages accession of national airlines to global airline alliances, analyzed peculiarities in combination of mutual interests of airlines participating in alliances and risks of airline cooperation in alliance.

Keywords: integration potential, airline, potential management, strategic alliance.

Постановка проблеми. Зa cyчacниx yмoв aвiaкoмпaнiï викopиcтoвyють piзнi вapiaнти cпiвпpaцi з Ышими aвiaпiд-пpиeмcтвaми, ocнoвними cepeд якиx е: пoглиблeння пapт-нepcькиx вiднocин y межж мapкeтингoвиx, cтpaтeгiчниx тa глoбaльниx aвiaцiйниx aльянciв, yклaдaння кoд-шepiнгoвиx тa iнтepлaйн-yгoд, poзвитoк взaeмoвигiднoï cпiвпpaцi з ae-poпopтaми toi^o. Фopмyвaння aвiaцiйниx aльянciв пщвищуе стмкють aвiaкoмпaнiï в yмoвax pизикy, a тaкoж нaдae aвia-кoмпaнiям-пapтнepaм дocтyп дo нoвиx pecypciв тa дoзвoляe oптимiзyвaти викopиcтaння влacнoгo пoтeнцiaлy чepeз йoгo ефективне кoмбiнyвaння з pecypcaми пapтнepiв. Aвiaпepe-вiзники, яю не викopиcтoвyють пepeвaги piзниx фopм ^вп-pa^, мoжyть знaчнo cильнiшe вiдчyвaти нa co6í негативы змЫи нa pинкy тa 6ути менш гнучкими пopiвнянo з тими, якi

зaдiянi в кooпepaцiйниx тa iнтeгpaцiйниx пpoцecax. Cтpaтe-гiчнa cпiвпpaця в paмкax aвiaцiйниx aльянciв дoзвoляe aвia-кoмпaнiям cyттeвo зменшити витpaти, пoв'язaнi з веденням кoнкypeнтнoï бopoтьби, тa cпpямyвaти зeкoнoмлeнi кoшти нa влacний poзвитoк. З oглядy нa це aктyaльнoю пpoблeмoю е ефективне yпpaвлiння пoтeнцiaлoм iнтeгpaцiï aвiaкoмпaнiй.

Aналiз досл'щжень та пyблiкацiй з проблеми. ^o-блеми yпpaвлiння пoтeнцiaлoм пiдпpиeмcтв шиpoкo дocлi-джyвaли зapyбiжнi тa вiтчизнянi нayкoвцi, зoкpeмa H. Aзaнo-вa, P. Бpyн, Г. Гейл, P. Дeлбpiдж, З. Зaмip, Ф. Зaфap, T. ГЛн, M. Mapкyc, A. П^пен^, A. Caxap, П. Ceддoн, K. Ta^c, K. Xiн-кeльмaн, A. Чaплiнa, Ш. Шaнг [З, б, 7]. Piзнoacпeктний aнa-лiз пepeвaг тa pизикiв peaлiзaцiï cтpaтeгiй iнтeгpaцiйнoгo зpocтaння шляxoм пpиeднaння дo cтpaтeгiчниx тa глoбaль-

134 Фopмyвaння pинкoвиx вiднocин в УкpaÏнi № 11 (162)/2014

© ЛЛ. ЛИTBИHEHKO, 2014