ПРИМЕНЕНИЕ МЕТОДОВ СТАТИСТИКИ В ХОДЕ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ Текст научной статьи по специальности «Экономика и бизнес»

The application of the digital sliding mode for a linear system with a linear sliding surface is considered. Digital sliding mode refers to a system operation mode in which discrete-time control translates the image point in phase space to the sliding surface by the beginning of the next control cycle. The conditions for the existence of such a mode and the final relations for calculating the control action that implements the sliding mode of operation of the system are given. An example of the implementation of such a mode in an electric tracking drive is considered. The simulation results demonstrate the prospects of using digital sliding mode in the design of tracking drives.

Key words: tracking system, discrete control, sliding mode.

Makarov Nikolay Nikolaevich, doctor of technical sciences, professor, octobrius@yandex.ru, Russia, Tula, Tula State University,

Plykina Ekaterina Viktorovna, engineer, octobrius@yandex.ru, Russia, Tula, Tula State University

УДК 004.9

DOI: 10.24412/2071-6168-2022-10-245-254

ПРИМЕНЕНИЕ МЕТОДОВ СТАТИСТИКИ В ХОДЕ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ

Е.М. Баранова, А.Н. Баранов, С.Ю. Борзенкова, Н.В. Кулешова

В статье приведено описание подхода к применению статистических методов и использования программы STATISTICA при проведении аудита информационных систем, в частности, когда необходимо свести документооборот по дочерним/партнерским предприятиям к единой информационной платформе с обеспечением максимальной функциональной эффективности информационных систем.

Ключевые слова: анализ, аудит, информационные системы, статистические методы, корреляционно-регрессионный анализ.

Сегодня существуют крупные промышленные предприятия (промышленные бренды), которые объединяют большое количество производственных, обслуживающих и управляющих подразделений, дочерних и партнерских организаций, посредников и т.д.

Организации внутри промышленного бренда существуют разрозненно, так как имеют свои счета, свои средства и принципы обработки информации. Часто внутри организаций одного бренда для решения одних и тех же задач используются различные программные средства, например для планирования ресурсов предприятия (1С:Управление предприятием, Парус ERP, Галактика ERP), для инвестиционных проектов (Project Expert, Альт-Инвест, ТЭО-Инвест), для автоматизации документооборота (1С:Документооборот, СЭД "Дело", Directum). Закупка различного программного обеспечения приводит к тому, что нарушается единый документооборот, и управление брендом со стороны головной организации становится затруднительным. В связи с этим, возникает задача унификации программного обеспечения с целью снижения стоимости владения и облегчения управления IT-инфраструктурой.

Таким образом, актуальной является задача выявления максимально эффективных средств обработки информации с целью повышения уровня унификации в отношении использования программного обеспечения внутри промышленного бренда.

Оценка эффективности программных средств, используемых на предприятии одна из важных составляющей общего ИТ-аудита предприятия.

ИТ-аудит входит в обязательный спектр услуг, как консалтинговых компаний, так и системных. Поскольку количество используемых информационных систем быстро растет, а их качество постоянно улучшается, необходим периодический анализ состояния информационных технологий (ИТ) и всего, что с этим связано, а именно: информационных систем (ИС), ИТ-оборудования, организации ИТ-отдела и обоснованности решений о развитии ИТ-компании.

Аудит информационных систем и технологий (ИТ-аудит) - системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях, происходящих в них, устанавливающий уровень их соответствия определённому критерию и предоставляющий результаты заказчику.

Согласно международному стандарту ISO 19011 «Рекомендации по аудиту систем менеджмента качества и/или окружающей среды», под аудитом понимается «систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита».

245

Проведение ИТ-аудита можно разделить на 5 этапов:

- планирование аудита;

- получение общего представления об ИТ-процессах организации;

- анализ рисков в области использования информационных технологий;

- тестирование контрольных процедур в области информационных технологий;

- составление аудиторского заключения.

На этапе планирования аудита составляется общий план проведения аудита, согласовывается график проведения интервью, составляются шаблоны запросов, отчетов и других документов, анализируется предыдущий опыт работы. Планирование аудита составляет 10-15 % временных затрат на проект.

На этапе получения общего представления об ИТ-процессах организации происходит сбор и анализ информации, формирующей общее представление об управлении ИТ в компании, что позволяет иметь четкое представление о том, какие информационные активы являются ключевыми для организации и как они управляются. Данный этап составляет 15-20% временных затрат на проект.

К этапу анализа рисков в области информационных технологий относят выявление рисков, которые несут в себе текущие процесс управления ИТ, выявление контрольных процедур, внедренных в компанию для снижения данных рисков. Анализ рисков занимает приблизительно 10% временных затрат проекта по аудиту ИС.

Тестирование контрольных процедур в области информационных технологий - это один из основных и самых трудоемких этапов (до 50%).

На последнем этапе составления аудиторского заключения обычно составляется два документа:

- Аудиторское заключение для финансового аудита. (в этом документе излагаются общие выводы об эффективности системы внутреннего контроля над ИТ.

- Отчет для руководства организации. В этом документе описываются найденные недостатки системы, определяется степень существования недостатков и указания причин.

В России ситуация с нормативными актами в области ИТ-аудита неоднозначна. Существует федеральный закон «Об аудиторской деятельности», который достаточно подробно регламентирует основные отношения в сфере финансового аудита, однако полностью игнорирует даже само понятие специального, в том числе технического, аудита.

Возможно, из-за подобной неопределенности правовой базы у некоторых российских компаний до сих пор остается представление об ИТ-аудите как о финансовом аудите в области информационных технологий. ИТ-аудиторов ошибочно воспринимают как людей, которые занимаются пересчетом компьютеров и сравнением полученных результатов с количеством, проходящим по бухгалтерии. Но ИТ-аудит должен использоваться для других целей — это эффективный инструмент при наведении порядка в сфере информационных технологий. Он позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу ИТ-подразделения и решать многие другие задачи. Международными стандартами ИТ-аудита являются: (ITAF), Cobit 5, (IPPF), «ISAE No. 3402» и ISO/IEC 27007. В нашей стране для ИТ-аудита разработано очень мало специализированного программного обеспечения (ПО): 1Т Аудит: Аудитор, 1Т Audit: Выборка в 1с, HITpsa. Но данное ПО в полной мере не даёт ответ об эффективности использования ИТ в организации, поэтому разработка программного обеспечения для оценки информационных технологий в организации является актуальным.

1. «IT Audit Framework 2nd Edition» (ITAF) — международный стандарт проведения ИТ-аудита от организации ISACA

Действующая редакция выпущена в июле 2013 года. Целевая аудитория стандарта - специалисты в области ИТ-аудита. Стандарт предназначен для использования при проведении формализованных аудиторских проверок информационных систем и ИТ-инфраструктуры.

Стандартом определяются:

- основные термины и концепции, специфичные для специалистов в области ИТ-аудита;

- минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;

- основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;

- перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.

ITAF разрабатывался как стандарт, который может применяться, как для проведения отдельных аудитов информационных систем, так и для выполнения аудита информационных систем в рамках финансовых и операционных аудитов.

2. «Cobit 5 for Assurance» — руководство по проведению аудита в соответствии с COBIT v.5

Действующая редакция руководства выпущена организацией ISACA в июле 2013 года. Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5.

«Cobit 5 for Assurance»:

- содержит детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;

- содержит структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами (*enablers), описанными в COBIT 5;

- демонстрирует конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.

В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.

3. «International Professional Practices Framework (IPPF) for Internal Auditing Standards»

Международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA). Действующая редакция выпущена в 2013 году. Целевая аудитория стандарта - сотрудники внутреннего аудита.

Целью стандарта является определение:

- базовых принципов проведения внутреннего аудита;

- стандартного набора практик проведения внутреннего аудита;

- базовых показателей оценки эффективности процедур внутреннего аудита.

Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита, он определяет универсальные принципы и подходы, которые могут быть использованы, как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий.

Детальность и бизнес-ориентированность данных стандартов, являются его сильными сторонами. Тем не менее, так как стандарт и поддерживающие руководства разрабатывались для использования специалистами не имеющими глубокого ИТ-бэкграунда, используемая терминология не всегда точно описывает технические аспекты проведения ИТ-аудита. Также некоторые руководства не обновлялись несколько лет.

4. Международные стандарты «ISAE No. 3402» и «SSAE No. 16»

«ISAE No. 3402» международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and Assurance Standards Board), являющейся частью Международной Федерации Бухгалтеров (IFAC, International Federation of Accountants).

Стандарт «SSAE No. 16» (ранее известный как SAS 70), выпущен ассоциацией AICPA (American Institute of Certified Public Accountants) и является адаптированной американской версией международного стандарта «ISAE No.3402».

Целью стандарта «ISAE No. 3402» является предоставление унифицированного подхода к оценке эффективности системы внутреннего контроля сервисных организаций, в части подготовки достоверной финансовой отчетности. Согласно стандарту, проверка эффективности ИТ-контролей является необходимой при проведении оценки.

В соответствии со стандартом «ISAE No. 3402», уполномоченные аудиторские организации могут выпускать формализованные аудиторские заключения об эффективности системы внутреннего контроля. Данные заключения могут быть предоставления третьим заинтересованным лицам без необходимости проведения повторного аудита.

5. PCAOB Auditing Standard No. 5 "An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements"

Действующая редакция стандарта разработана и выпущена организацией «The Public Company Accounting Oversight Board» (PCAOB) в 2007 году.

Организация The Public Company Accounting Oversight Board (PCAOB) была создана законом Сарбейнза-Оксли в 2002 году как некоммерческая организация для контроля аудиторских проверок компаний, представленных на американских биржах, в целях защиты интересов инвесторов при подготовке независимого аудиторского заключения. Созданием PCAOB, акт Сарбейнза-Оксли впервые в истории обязал частные аудиторские компании проходить независимый надзор. До этого профессия аудиторов в США была саморегулируемой.

Стандартом аудита PCAOB No. 5 "An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements"определяются требования по включению проверок ИТ-процессов и ИТ-систем в объем обязательных аудиторских процедур при проведении внешнего финансового аудита.

Согласно стандарту, при проведении аудита контролей, связанных с подготовкой финансовой отчетности, аудитор должен получить понимание того, как используемые информационные системы и технологии оказывают влияние на процесс формирования финансовой отчетности. Аудитор также должен понимать какие контроли выполняются вручную, а какие реализованы на уровне информационных систем — автоматизированные контроли, в том числе как выполняются общие ИТ-контроли, которые важны для эффективной работы автоматизированных контролей. Эта информация должна быть учтена при оценке рисков искажения финансовой информации, обрабатываемой в информационных системах.

6. «ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC TR 27008: Guidelines for auditors on information security management systems controls»

Стандарты опубликованы международной организацией ISO/IEC в 2011 году.

Целевой аудиторией стандартов являются специалисты в области информационной безопасности и ИТ-аудита, планирующие проведение compliance-аудита на соответствие требованиям стандартов ISO27001 и ISO27002.

Цель стандартов - дать оценку соответствует ли аудируемая организация/подразделение требованиям, изложенным в ISO/IEC 27001 и ISO/IEC 27002.

Стандарты включают описание следующих аспектов аудита:

1. Управление аудиторской проверкой (определение объема аудиторской проверки, формирование команды аудиторов, управление аудиторскими рисками, хранение свидетельств аудита, совершенствование процесса аудита).

2. Непосредственное проведение аудита (планирование, проведение, ключевые активности, включая выборки и анализ, отчетность и последующий контроль исполнения).

3. Управление командой аудиторов (поддержание компетенций и навыков, оценка членов команды).

Недостатком данных стандартов является отсутствие оценки рисков и последующей приорити-зации контролей при планировании и проведении проверки. Тем не менее, стандарты удобны при подготовке к compliance-аудиту на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27002.

В ряде случаев при проведении ИТ-аудитов могут быть использованы международные стандарты и лучшие практики, которые не являются непосредственными стандартами аудита, тем не менее, удобны для оценки уровня зрелости и эффективности ИТ-процессов.

Пример таких стандартов:

1. ISO 20000 - международный стандарт по управлению и обслуживанию IT сервисов.

2. ITIL (IT Infrastructure Library) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области ИТ.

3. PCI DSS - стандарт безопасности данных индустрии платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

4. Публикации NIST серии 800-хх по информационной безопасности.

5. ISF Standards of Good Practice for Information Security — бизнес-ориентированное практическое руководство по управлению рисками информационной безопасностью от международной организации Information Security Forum (ISF).

Методы ИТ-аудита:

- интервью;

- анкетирование;

- сбор и анализ документации, регламентирующей ИТ-процессы;

- наблюдение;

- тестирование приложений; Тестирование основных ИТ-контролей;

- тестирование информационной безопасности.

На российском рынке в настоящее время можно выделить следующие подходы к оценке ИТ организации:

- обследование ИТ;

- экспертная оценка ИТ;

- технический аудит ИТ;

- аудит ИТ бизнес-процесса;

- аудит критерия ИТ;

- комплексный аудит ИТ;

- стратегический ИТ-аудит.

Экспертная оценка ИТ - это оценка адекватности финансирования проектных решений и / или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

- оценка ИТ-проектов или проектных решений;

- оценка обоснованности инвестиций в ИТ;

- оценка стоимости ИТ-составляющей компании;

- оценка текущих ИТ-проектов;

- оценка возможности перепрофилирования ИТ-инфраструктуры;

- оценка организации эксплуатации ИТ;

- оценка подготовки пользователей.

Технический аудит ИТ - это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса - это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

- определение ответственного за процесс;

- определение пользователей и участников бизнес-процесса;

- выявление применяемого оборудования и программ;

- оценка действий обслуживающего персонала и пользователей;

- анализ проектных и регламентирующих документов;

- оценка совокупной стоимости владения ИТ.

Аудит критерия ИТ - это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ - это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

В процессе стратегического ИТ-аудита большое внимание должно уделяться таким аспектам,

как:

- роль информационных технологий в основном бизнесе или основной деятельности.

- организация управления службой информационных технологий организации.

- оценка отдачи от эксплуатации действующих информационных систем.

- оценка влияния действующих информационных систем на взаимоотношения с внешней бизнес-средой.

В процессе разработки ИТ-стратегии используются три основных метода сбора необходимых

данных:

- проведение круглого стола с руководителями организации.

- анкетирование руководящего состава.

- интервьюирование руководителей.

Также стоит отметить ряд методик по оценке эффективности ИТ-проектов организаций:

- российско-советская методика расчета экономической эффективности АСУП;

- традиционные финансовые методики (расчет простого срока окупаемости, расчет чистой приведенной стоимости, расчет внутренней нормы доходности и др.);

- новые финансовые методики оценки эффективности ИТ-проектов (расчет совокупной стоимости владения, инструменты качественного анализа);

- методики контроля затрат (функционально-стоимостной анализ (ФСА), метод исследования затратно-временных показателей C/SCSC));

- методики, основанные на управлении рисками (расчет справедливой цены, метод прикладной информационной экономики, перерасчет финансовых показателей с учетом риска);

- современные методики оценки эффективности ИС (расчет совокупной ценности возможностей TVO, методика расчета совокупного экономического эффекта TEI, метод быстрого экономического обоснования REJ).

Все методы направлены на выяснение сильных и слабых сторон существующего состояния информационных систем, но, главным образом, на идентификацию приоритетных направлений их развития. Методы могут применяться в различных комбинациях в зависимости от специфики организации. Каждый из них обладает своими преимуществами и недостатками.

Из-за отсутствия в российском законодательстве четких указаний в области ИТ-аудита большинство компаний опираются при его проведении на здравый смысл, международные стандарты и «лучшие практики», такие как Control Objectives for Information and related Technology (COBIT) и IT Infrastructure Library (ITIL). ИТ-аудит в ITIL является важной частью процесса непрерывного улучшения качества ИТ-услуг (Continual Service Improvement), ключевого процесса в управлении ИТ.

Для более стандартизированной и эффективной оценки информационных средств, эксплуатируемых на предприятии можно использовать статистические методы.

Применение статистических методов для оценки эффективности эксплуатируемых информационных систем в ходе ИТ-аудита.

Статистические методы позволяют лучше использовать имеющиеся данные для принятия решения и тем самым способствуют повышению качества продукции и процессов, а также достижению удовлетворенности потребителя. Статистические методы применяют на стадиях исследования рынка, проектирования, разработки, производства, верификации, монтажа и обслуживания.

Для того, чтобы проведенный статистический анализ давал возможность формировать адекватные выводы и принимать эффективные решения, необходимо задаться вопросом сбора данных.

Для проведения статистического анализа предложена система STATISTICA, которая охватывает все необходимые методы «глубокого» анализа фактографических данных.

В настоящий момент этот показатель регулируется международным стандартом ISO/IEC 25010:2011. Данный стандарт устанавливает многоуровневую систему оценки качества ПО, основанную на восьми базовых характеристиках.

Параметры качества ПО

Основные характеристики качества программного обеспечения согласно стандарту ISO/IEC 25010:2011:

1. Функциональность. ПО признается функциональным, если выполняет возложенные на него задачи, отвечает заданным потребностям пользователей. Данный аспект предполагает правильную и точную работу, совместимость всех входящих в состав компонентов.

2. Надежность. Под надежностью ПО понимают бесперебойное выполнение возлагаемых на него задач на заданных условиях в течение установленного времени.

3. Юзабилити (удобство использования). Этот параметр характеризует степень удобства ПО для пользователей, его наглядность, легкость эксплуатации и изучения.

4. Эффективность. Параметру соответствует степень обеспечения продуктом необходимой производительности при заданных условиях.

5. Удобство сопровождения. Этот показатель характеризует простоту анализа, тестирования, коррекции компонентов ПО, его обслуживания, а также степень адаптации к новым условиям.

6. Портативность. Степень легкости его переноса на другую платформу. Обеспечение качества ПО предполагает его проверку по каждому из перечисленных параметров, выявление слабых сторон и устранение неисправностей.

7. Совместимость. Способность программных компонентов взаимодействовать друг с другом.

8. Защищенность, т.е. минимизация угроз, связанных с несанкционированным чтением, изменением информации и т. д. Угрозы могут быть также связаны с некорректным использованием ПО, внешним воздействием со стороны посторонних лиц, выходом из строя технических средств.

Пять показателей экономической эффективности IT-проекта:

- чистый приведенный доход NPV;

- внутренняя норма доходности IRR;

- индекс доходности PI;

- срок окупаемости PBP;

- норма прибыли ARR.

Формула расчета чистого приведенного дохода NPV:

NPV= ш

Показатель NPV является абсолютным приростом, поскольку оценивает, на сколько приведенный доход перекрывает приведенные затраты:

- при NPV > 0 проект следует принять;

- при NPV < 0 проект не принимается;

- при NPV = 0 проект не имеет ни прибыли, ни убытков.

Одним из вариантов модификации понятия окупаемости заключается в суммировании всех дисконтированных денежных потоков (доходов от инвестиций) с последующим делением суммы на инвестиционный расход. Результатом является индекс доходности (рентабельности) (Profitability Index, PI), иногда называемый отношением дохода к издержкам (benefit cost ratio), выраженным в текущих стоимостях. Индекс прибыльности показывает - сколько мы заработаем денег с каждого вложенного рубля.

Формула расчета индекса доходности PI:

= (2)

Для анализа инвестиций применяют и такой показатель, как срок окупаемости PBP (pay-back period) - продолжительность времени, в течение которого дисконтированные на момент завершения инвестиций прогнозируемые денежные поступления равны сумме инвестиций. Иными словами - это период (n), необходимый для возмещения стартовых инвестиций.

При анализе эффективности инвестиционных проектов широко используется показатель внутренней нормы доходности (IRR - internal rate of return) - это ставка дисконтирования, приравнивающая сумму приведенных доходов от инвестиционного проекта к величине инвестиций, т.е. вложения окупаются, но не приносят прибыль. Величина этой ставки полностью определяется «внутренними» условиями, характеризующими инвестиционный проект.

Применение данного метода сводится к последовательной итерации (повторения) нахождения дисконтирующего множителя, пока не будет обеспечено равенство NPV = 0.

Внутренняя норма доходности IRR - это значение ставки дисконтирования I, при которой чистый приведенный доход NPV равен 0.

Инвестор сравнивает полученное значение IRR со ставкой привлеченных финансовых ресурсов (CC - Cost of Capital):

- если IRR > CC, то проект можно принять;

- если IRR < СС, проект отвергается;

- IRR = СС проект имеет нулевую прибыль.

Учетная норма прибыли (ARR) — это процентная норма прибыли, ожидаемая от инвестиций или активов по сравнению с первоначальной стоимостью вложений. ARR соотносит среднюю выручку от актива с суммой первоначальных инвестиций компании, чтобы получить в итоге коэффициент или прибыльность, которые можно ожидать в течение срока службы актива или связанного с ним проекта.

Формула расчета ARR:

CF

ARR = -ср, (3)

1С ' v '

где CFcp - средний денежный поток (чистая прибыль) объекта инвестиций за рассматриваемый период (месяц, год); IC (Invest Capital) - инвестиционный капитал, первоначальные затраты инвестора в объект вложения.

Каждый информационный продукт может быть охарактеризован следующими данными (переменными величинами):

- стоимость приобретения (подключения);

- стоимость владения (тех. обслуживания);

- функциональность;

- защищенность;

- требуемый уровень пользователя;

- удобство использования;

- рейтинг;

- модульный принцип (построения, внедрения, масштабирования);

- открытость системы (возможность интеграции с другими ИС, создание дополнительных

модулей);

- требования к аппаратным средствам;

- присутствие поставщика ИС на местном рынке;

- страна производства;

- экономическая эффективность.

К представленным данным следует применить методы статистики.

Следует отметить, что переменные имеют различный тип - качественные (измерить нельзя, следовательно, не характеризуются числовыми характеристиками) и количественные (можно измерить, характеризуются дисперсией).

Для того, чтобы все данные (качественные в том числе) можно было оценить методами статистики, необходимо качественные характеристики привести к количественным. Для этого каждому параметру качества присваивается определенная количественная характеристика, желательно, обладающая смыслом относительно характеризуемой переменной. Замена качественных значений переменной количественными позволит получить числовые характеристики переменной, а следовательно, организуется возможность применения такой характеристики в различных видах анализа в системе STATISTICA.

В таблице представлены виды переменных, которыми характеризуется каждая из представленных выборок.

Виды переменных, которыми характеризуется каждая из представленных выборок, приведены в таблице.

Виды переменных, которыми характеризуется выборки

№ Переменная Тип Замена

1 Стоимость приобретения (подключения) Число Замены не требуется

2 Стоимость владения (тех. обслуживания) Число Замены не требуется

3 Функциональность Текст Замена на числовую переменную

4 Защищенность Текст Замена на числовую переменную

5 Требуемый уровень пользователя Текст Замена на числовую переменную

6 Удобство использования Число Замены не требуется

7 Рейтинг Число Замены не требуется

8 Модульный принцип (построения, внедрения, масштабирования) Текст Замена на числовую переменную

9 Открытость системы (возможность интеграции с другими ИС, создание доп модулей) Текст Замена на числовую переменную

10 Требования к аппаратным средствам Текст Замена на числовую переменную

11 Присутствие поставщика ИС на местном рынке Текст Замена на числовую переменную

12 Страна производства Текст Замена на числовую переменную

13 Экономическая эффективность Число Замены не требуется

Для анализа по данным критериям, выбраны программные средства, наиболее используемые промышленными брендами, и объединены в кластеры.

1. ERP:

- 1С: ERP Управление предприятием

- Парус ERP

- Галактика ERP

- SAP ERP

- Oracle ERP

2. Документооборот:

- 1С: Документооборот

- СЭД «Дело»

- Directum

- Контур. Диадок

- СЭД Тезис

3. Для оценки эффективности инвестиционных проектов:

- Project Expert

- Альт-Инвест

- ИНВЕСТОР

- COMFAR

4. Инженерные/производственные:

- Компас-3D

- AutoCAD

- Solid Edge

- BricsCAD

5. Системы управления проектами:

- Advanta

- Мегаплан

- Планфикс

- GanttPRO

Таким образом, были осуществлены следующие аналитические решения в сфере исследования информационных систем:

- проанализированы параметры информационных систем, влияющие на эффективность функционирования системы;

- проведен корреляционно-регрессионный анализ с построением уравнения регрессии для прогнозирования уровня эффективности функционирования информационных систем.

Проанализированы такие кластеры информационных систем как:

1. Системы электронного документооборота.

2. Системы для оценки эффективности инвестиционных проектов.

3. Инженерные/производственные системы.

4. Системы управления проектами.

На основании проведённого анализа, осуществлено формирование обобщенного вывода относительно применения статистических методов в области аудита информационных систем.

1. Вычисление числовых характеристик данных (применение описательных статистик) позволило заключить следующее:

Дисперсии признаков в основном незначительны, за исключением переменных Стоимость приобретения и Стоимость владения. Это говорит о плотной сгруппированности данных внутри выборки.

В силу незначительной ассиметри большинства значений переменных, среднее, медиана и мода незначительно отличаются друг от друга, что можно отнести к первичному факту нормального распреднления изучаемых переменных.

Размах значений переменных незначительный, за исключением таких переменных как Стоимость приобретения и Стоимость владения.

2. Корреляционно-регрессионный анализ позволил заключить:

- среди ERP систем обнаружена тесная корреляционная связь между зависимой переменной Экономическая эффективность и независимыми переменными Стоимость приобретения, Стоимость владения, Функциональность (коэффициент корреляции соответственно 0,861, 0,861 и 0,748).

- среди систем электронного документооборота обнаружена тесная корреляционная связь между зависимой переменной Экономическая эффективность и независимыми переменными Стоимость приобретения, Открытость системы, Присутствие поставщика ИС на местном рынке (коэффициент корреляции соответственно 0,84, 0,98 и 0,71).

- среди систем оценки эффективности инвестиционных проектов обнаружена тесная корреляционная связь между зависимой переменной Экономическая эффективность и независимыми переменными Функциональность, Защищенность, Требуемый уровень пользователя, Удобство использования на местном рынке (коэффициент корреляции соответственно 0,9965, 0,9965, 0,9965 и 0,9965).

- среди инженерных/производственных систем обнаружена тесная корреляционная связь между зависимой переменной Экономическая эффективность и независимыми переменными Стоимость приобретения, Удобство использования, Функциональность, Присутствие поставщика ИС на местном рынке (коэффициент корреляции соответственно 0,826, 0,904, 0,904 и 0,87).

- среди систем управления проектами обнаружена тесная корреляционная связь между зависимой переменной Экономическая эффективность и независимыми переменными Функциональность, Требуемый уровень пользователя, Удобство использования (коэффициент корреляции соответственно 0,68, 0,68 и 0,876).

Проведенный анализ данных позволил сформировать ряд предложений, направленных на унификацию программных средств на предприятии:

1) Среди ERP систем, в качестве системы с лучшим набором характеристик выделена система 1С: ERP Управление предприятием.

2) Среди систем электронного документооборота, в качестве системы с лучшим набором характеристик выделена система 1С: Документооборот и СЭД «Дело».

3) Среди систем управления инвестиционными проектами, в качестве системы с лучшим набором характеристик выделена система Project Expert.

4) Среди инженерных систем, в качестве системы с лучшим набором характеристик выделена система Компас-3D.

5) Среди систем управления проектами, в качестве системы с лучшим набором характеристик выделена система Advanta.

6) Для исследования процесса зависимости экономической эффективности программных средств от основных характеристик, в дальнейшем можно попытаться свести данные до факторов, выделенных как наиболее значимые в каждом кластере.

Список литературы

1. Баранов А.Н. Разработка системы контроля за производством продукции на базе платформы 1с: предприятие // Пищевые инновации и биотехнологии. сборник тезисов VIII Международной научной конференции студентов, аспирантов и молодых ученых. под общ. ред. А. Ю. Просекова. Кемерово, 2020. С. 11-13.

2. Баранов А.Н. Программное обеспечение для генерации и обработки аналоговых сигна-лов//Математические методы и информационно-технические средства. Материалы XV Всероссийской научно-практической конференции. Редколлегия: И.Н. Старостенко [и др.]. 2019. С. 18-21.

3. Методическое руководство по оценке качества функционирования информационных систем (в контексте стандарта ГОСТ РВ 51987 «Информационная технология. Комплекс стандартов на автоматизированные системы. Требования и показатели качества функционирования информационных систем. Общие положения»). М.: Изд-во 3 ЦНИИ МО РФ, 2003. 352 с.

Баранова Елизавета Михайловна, канд. техн. наук, доцент, elisafine@yandex.ru, Россия, Тула, Тульский государственный университет,

Баранов Андрей Николаевич, канд. техн. наук, доцент, an 111111 @mail.ru, Россия, Тула, Тульский государственный университет,

Борзенкова Светлана Юрьевна, канд. техн. наук, доцент, tehnol@rambler.ru, Россия, Тула, Тульский государственный университет,

Кулешова Наталья Викторовна, канд. техн. наук, доцент, nata_kyl@mail.ru, Россия, Тула, Тульский государственный университет

APPLICATION OF STATISTICAL METHODS DURING THE A UDIT OF INFORMATION SYSTEMS E.M. Baranova, A.N. Baranov, S. Y. Borzenkova, N. V. Kuleshova

The article describes the approach to the application of statistical methods and the use of the STATISTICA program when conducting an audit of information systems, in particular, when it is necessary to reduce the workflow of subsidiaries / partner enterprises to a .single information platform to ensure maximum functional efficiency of information systems.

Key words: analysis, audit, information systems, statistical methods, correlation and regression analysis.

Baranova Elizaveta Mikhailovna, candidate of technical sciences, docent, elisafine@yandex.ru, Russia, Tula, Tula State University,

Baranov Andrey Nikolaevich, candidate of technical sciences, docent, an111111@mail.ru, Russia, Tula, Tula State University,

Borzenkova Svetlana Yurievna, candidate of technical sciences, docent, tehnol@rambler.ru, Russia, Tula, Tula State University,

Kuleshova Natalia Viktorovna, candidate of technical sciences, docent, nata_kyl@mail.ru, Russia, Tula, Tula State University