ВОЗМОЖНОСТЬ ПРИМЕНЕНИЯ АУДИТА В ПРОЦЕССЕ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРОЙ
А. А. НОВОСЕЛЬЦЕВ
В данной статье рассматриваются более широкие функции аудита относительно традиционного подтверждения достоверности отчетности. Статья посвящена аудиту информационных инфраструктур и рассматривает его как вид внутреннего аудита, который по имеющимся классификациям аудиторской деятельности относится к операционному аудиту. В статье описаны особенности, виды и задачи аудита информационных инфраструктур.
Ключевые слова: аудит, внутренний аудит, операционный аудит, информационная инфраструктура, информационные технологии.
Развитие аудита и аудиторской деятельности обусловлено развитием бизнеса, изменением целей и задач, решаемых в процессе функционирования экономики в целом, а также целей и задач отдельных отраслей и предприятий.
В России аудит возник не так давно, однако прочно вошел в сферу предпринимательской деятельности. Если в период становления аудита основной его задачей было проведение проверок и снижение налоговых рисков, то в настоящее время область аудиторской деятельности значительно расширилась.
По данным рейтингового агентства «Эксперт РА» [9] прирост общей выручки участников рынка аудиторских услуг за 2011 г. составил 14 % против 5 и 2 % за 2010 и 2009 гг. соответственно, а ее объем достиг 70,7 млрд руб. Наибольшими темпами растет спрос на сопутствующие аудиту услуги: в 2011 г. прирост доходов от консалтинговых практик составил 16 %. В структуре выручки аудиторский компаний только 32 % приходится общий аудит, а остальное - на различного рода консультационные услуги.
Одновременно расширяется сфера аудиторской деятельности и спектр оказываемых аудиторских услуг. Кроме финансового аудита (например, аудита финансовой отчетности) выделяются также такие виды аудита, как налоговый аудит, маркетинговый аудит, ценовой аудит, управленческий аудит, организационный аудит, инвестиционный аудит, операционной аудит, аудит интеллектуальной собственности и другие виды аудита [8]. Расширяется понятие аудита и вводится более широкое понятие «аудиторская деятель-
ность». Наряду с внешним аудитом постоянно развивается и внутренний аудит.
Глубокое и всестороннее исследование проблем развития современного аудита проводится в работах М. В. Мельник [2; 3; 4]. Среди направлений развития аудита ученый выделяет:
- расширение объектов аудита;
- вопрос о соотношении оценки эффективности функционирования предприятия и оценки достоверности отчетности.
Одним из таких объектов, который в настоящее время представляет значительный интерес для заинтересованных пользователей, является информационная инфраструктура.
Наличие своевременной и качественной информации является обязательным условием принятия надлежащих и оптимальных управленческих решений. Но при этом, являясь одним из слагаемых развития компании, информация одновременно выступает как один из источников риска, а процесс получения, обработки и передачи информации становится самостоятельным бизнес-процессом. Для описания объекта аудита важно правильно дать ему определение. На практике широко используются понятия «информационная система», «информационная технология». Но неоднозначность трактовок, отсутствие теоретически обоснованных и общепринятых формулировок создает определенные проблемы при их применении. Поэтому для описания среды, в которой собирается, хранится, передается, преобразуется и анализируется информация о предприятии и для предприятия, на наш взгляд, целесообразнее использовать понятие «информационная инфраструктура».
При этом инфраструктура в данном контексте -это технология и устройства (например, аппаратное обеспечение, операционные системы, системы управления базами данных, сетевое оборудование, мультимедиа, а также та среда, в которой все это находится и поддерживается), которые обеспечивают работу приложений [10].
Приведенное определение лишено противоречий, присущих определениям информационной системы и информационной технологии, и может использоваться применительно к конкретному хозяйствующему субъекту.
Можно выделить следующие проблемы, связанные с управлением информационной инфраструктурой (далее ИИ):
- наличие рисков;
- создание необходимого информационного поля (необходимого для принятия управленческих решений, функционирования предприятия, внешних пользователей (бухгалтерский учет, отчетность, взаимодействие со сторонними организациями и т. д.);
- достижение соответствия между целями развития бизнеса и целями развития ИИ;
- соответствие нормативным документам;
- безопасность;
- достижение оптимального сочетания между результатом функционирования ИИ и затратами на ее создание и эксплуатацию;
- достижение взаимодействия между специалистами разных специальностей (менеджеров, финансистов, экономистов с одной стороны и техническими специалистами с другой стороны);
- учет внешней информации;
- необходимость создания системы контроля.
Решение данного комплекса задач связано с определенными организационными трудностями, так как в этом случае должны быть задействованы специалисты разных иерархических уровней (от топ-менеджеров до программистов), которые не связаны между собой организационными связями и выполняют различные функциональные обязанности. Таким связующим звеном может стать служба внутреннего аудита, так как:
- внутренний аудитору известна стратегия развития предприятия;
- внутренний аудитор хорошо представляет все информационное поле, которое существует на предприятии и ту необходимую информацию, которая нужна всем внешним и внутренним пользователям;
- внутренний аудитор является независимым лицом на предприятии, не подчиняющимся внутренним службам и отделам;
- внутренний аудитор по своим должностным обязанностям должен уметь оценивать риски и создавать систему контроля.
В последнее время появился ряд работ, посвященных аудиту информационных систем [6; 7]. Указанные услуги предлагают многие консалтинговые фирмы. Но широкого практического применения эта услуга не находит, так как на наш взгляд вопросы, выносимые на аудит, рассматриваются очень узко и сводятся только к аудиту построения информационных систем и регламенту их функционирования, то есть решаются только технические задачи.
Как было отмечено выше, аудит ИИ, кроме технических задач, должен решать задачи:
- взаимосвязи ИИ с целями и стратегией развития бизнеса;
- определения функционирования предприятия в соотношении с внутренней средой и т. д.;
- определение оптимального сочетания между затратами на ИИ и функциями, которые она выполняет.
Аудиту информационных систем посвящен ряд нормативных документов, а также опубликованные в последнее время разработки в этой области. Но все эти документы и описания касаются в основном технического аудита информационных систем.
Прежде всего, необходимо выделить стандарт «Цели контроля при использовании информационных технологий» (СОВ1Т), разработанный ассоциацией аудита и контроля информационный систем КАСА 1996 г. Некоторые положения этого стандарта можно использовать при создании отечественного стандарта аудита информационной инфраструктуры.
Одним из достоинств СОВ1Т является описание взаимосвязи различных служб при управлении информационными системами и информационной инфраструктурой.
Из Стандарта следует, что аудитор должен обеспечить выполнение следующих функций:
- разработать и поддерживать схемы классификации данных;
- обеспечить владельцев процедурами и инструментами для классификации информационных систем;
- осуществлять поддержку и мониторинг исполнения плана обработки рисков;
- разработать методологию непрерывности обслуживания;
- осуществлять мониторинг и надзор за системой внутреннего ИТ контроля;
- определить и внедрить процесс по выявлению внешних требований законодательства, регулирующих норм и условий контрактов;
- определить меры контроля в рамках дизайна приложений;
- оценить соответствие деятельности в сфере ИТ политике, планам, процедурам ИТ;
- получить положительное заключение о соответствии деятельности в сфере ИТ политике, планам и процедурам ИТ;
- определить и поддерживать план ИТ безопасности;
- вести мониторинг потенциальных и существующих инцидентов в сфере безопасности;
- вести периодический анализ и проверку прав доступа и полномочий пользователей;
- проводить регулярный анализ уязвимых мест;
- вести мероприятия по приведению ИТ политик, планов и процедур в соответствие с внешними требованиями;
- осуществить интеграцию ИТ отчетности по соблюдения внешних требований;
- регулярно получать независимые оценки эффективности и соответствия политикам, планам и процедурам;
- реализовать на практике рекомендации, полученные в ходе независимых оценок.
Исходя из перечисленных задач, можно сделать вывод, что аудитор, кроме контрольных функций, должен также выполнять ряд функций по управлению ИИ и консультированию других специалистов, связанных с функционировании-ем ИИ.
Поэтому аудит ИИ необходимо рассматривать как вид внутреннего аудита, который по имеющимся классификациям аудиторской деятельности относится к операционному аудиту.
Одно из первых определений операционного аудита приведено в работе Э. А. Аренса и Дж. К. Лоббек [1]. Авторы под операционным аудитом понимают проверку любой части процедур и методов функционирования хозяйственной системы в целях оценки результативности и эффективности. По завершению этого аудита менеджеру обычно выдаются рекомендации по совершенствованию операций.
Функции аудита в данном контексте значительно расширяются относительно традиционного подтверждения достоверности отчетности. Иными словами - добавляется функция по выдаче рекомендаций совершенствования операций.
Авторы отмечают, что операционный аудит трактуется более широко, в него включается оценка
внутрихозяйственного контроля и даже тестирование его эффективности.
В российской литературе сформулировано следующее определение операционного аудита: Операционный аудит можно определить как системный и комплексный подход к оценке эффективности деятельности хозяйствующего экономического субъекта, выявлению ее резервов и факторов на них влияющих, обобщению материалов аудирования в виде научно обоснованных выводов и управленческих рекомендаций, направленных на оптимизацию управленческих решений, полученных в результате применения специальных аудиторских подходов и процедур относительно всей имеющейся у аудитора информации о результатах функционирования и развития бизнес-процессов и бизнес-операций, формирующих эти процессы [5].
При проведении операционного аудита одной из проблем является определение критериев эффективности. При проведении аудита ИИ это критерии, по которым оценивается эффективность функционирования ИИ и ее отдельных элементов. В качестве таких критериев можно использовать показатели оценки, приведенные в СОВ1Т.
Организационно проведение аудита ИИ имеет некоторые особенности, так как необходимо привлекать технического специалиста. При проведении аудита ИИ аудитор является руководителем проверки и должен пригласить в качестве эксперта технического специалиста (лучше внешнего, так как при этом будет обеспечена независимость).
Аудит ИИ можно разбить на два вида:
- аудит при создании или модернизации ИИ;
- аудит после завершения создания или модернизации ИИ;
- аудит текущего состояния ИИ.
Для первых двух видов аудита можно привлекать внешних аудиторов, проведение текущего аудита ИИ - функция внутреннего аудитора.
Первые два вида аудита носят разовый характер, а текущий аудит может проводится ежегодно или раз в два года, в зависимости от сложности ИИ, уровня развития.
Аудит ИИ можно определить как проверку соответствия ИИ бизнес-целям организации, оценку рисков ИИ, выработку практических рекомендаций по повышению эффективности ИИ, проводимую с привлечением технического эксперта.
Задачи текущего аудита ИИ должны также различаться для предприятий, в которых ИИ является элементом управления производственным процессом (например, энергетика, банковская сфера) и предприятия, для которых ИИ создает определенное информационное пространство.
Задачи текущего аудита для предприятий, в которых ИИ создают информационное пространство, можно сформулировать следующим образом:
- оценить степень соответствия стратегии бизнеса и стратегии развития ИИ;
- разработать показатели оценки эффективности функционирования ИИ;
- определить вклад эффективности ИИ в эффективность всего бизнеса;
- определит необходимость модернизации ИИ;
- выявить риски функционирования ИИ;
- оценить достаточность, качество и своевременность информации, поставляемой ИИ;
- оценить взаимодействие внутренней ИИ и внешней;
- оценить безопасность;
- оценить соответствие нормативным документам;
- оценить соотношение затраты/качество;
- оценить систему внутреннего контроля;
- разрешенный доступ;
- оценить основные бизнес-процессы, происходящие в ИИ при помощи модели зрелости, дать рекомендации по развитию ИИ;
- оценить доступность ИИ, комфортность дизайна;
- оценить эффективность действия ИТ-актива;
- получить полную картину связей взаимодействия ИИ, описания бизнес-процессов.
Несмотря на некоторое отличие аудиторское исследование ИИ может проводится по тому же алгоритму, что и проведение аудита финансовой отчетности:
1. Принятие решение о проведении аудита, назначение ответственных за его проведение.
2. Составление плана и программы аудита, предварительное изучение бизнес-процессов, определение рисков и признаков существенности, определяются затраты на его проведение.
3. Составление специального задания для эксперта - технического специалиста.
4. Изучение вопросов, вынесенных на проверку, сбор информации, обследование, анкетирование, опрос, обследование отдельных ситуаций, оценка системы внутреннего контроля, тестирование контрольных процедур.
5. Написание отчета, который должен содержать оценку ИИ и рекомендации по повышению эффективности ее эксплуатации.
6. Составление плана мероприятий по реализации рекомендаций, содержащихся в отчете.
Разработка методики проведения аудита ИИ, ее внедрение в повседневную практику может стать предпосылкой развития аудита информационной инфраструктуры, что в свою очередь приведет как к расширению сферы аудиторской деятельности, так и к повышению эффективности управления информационными потоками на предприятиях.
Литература
1. Аренс Э. А., Лоббек Дж. К. Аудит: пер. с англ. М., 2001.
2. Мельник М. В. Эволюция контрольной функции в условиях инновационной экономики // Инновационное развитие экономики. 2011. № 6.
3. Мельник М. В. Развитие стратегического аудита // Инновационное развитие экономики. 2012. № 4.
4. Мельник М. В., Когденко В. Г. Экономический анализ в аудите: учеб. пособие для студ. вузов. М., 2007.
5. Ситнов А. А. Методы операционного аудита // Аудиторские ведомости. 2007. № 3.
6. Ситнов А.А. Особенности аудита информационных инфраструктур // Аудитор. 2011. № 11.
7. Ситнов А. А. Стандарт COBITt: новые возможности российского аудита // Аудиторские ведомости. 2012, № 6.
8. Чернова М. В. Виды аудита: современная классификация // Аудиторские ведомости. 2011. № 6.
9. Электронный ресурс raexpert.ru «Российский аудит». 2011.
10. COBIT 4.1 Методология. Цели контроля. Руководство по управлению. Модели зрелости процессов: пер с англ. И. А. Вдовин. М., 2008.
* * *
POSSIBILITY OF AUDIT APPLICATION
IN MANAGEMENT OF INFORMATION INFRASTRUCTURE
A. A. Novoseltsev
In this article broader functions of audit of rather traditional confirmation of reliability of the reporting are considered. Article is devoted to audit of information infrastructures and considers it as a type of internal audit which on available classifications of auditor activity belongs to operational audit. In article features, types and problems of audit of information infrastructures are described.
Key words: audit, internal audit, operational audit, information infrastructure, information technologies.