О В Головчук - Аудит інформаційних технологій в органах виконавчої влади - страница 1

Страницы:
1  2 

Формування ринкової економіки. 2011. № 26

12. Masse P. Le choix des investissements. [Text] / P. Masse. Paris: Dunod & Co., 1959. — 489 p.

13. Романовский П. И. Общий курс математического анализа в сжа­том изложении. [Текст] / П. И. Романовский. М.: Физматгиз, 1962. —

332 с.

Статтю подано до редакції 27.05.11 р.

УДК 657

О. В. Головчук, магістрант, ДВНЗ «Київський національний економічний університет

імені Вадима Гетьмана»

АУДИТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ В ОРГАНАХ ВИКОНАВЧОЇ ВЛАДИ

АНОТАЦІЯ. У статті проаналізований стан проведення аудиту ін­формаційних технологій в органах виконавчої влади. Запропонова­на система комплексної оцінки стану ІТ в муніципальних органах влади.

КЛЮЧОВІ СЛОВА: аудит інформаційних технологій, Аудит інфор­маційних систем, COBIT, Аудит інформаційної інфраструктури, Оцін­ка людського капіталу, Аудит ефективності, ISACA, INTOSAI, Кри­терії ефективності, Performance audit (англ. м.), Value for money studies (англ. м.).

АННОТАЦИЯ. В статье проанализировано состояние проведения аудита информационных технологий в органах исполнительной власти. Предложенная система комплексной оценки состояния ИТ в муниципальных органах власти.

КЛЮЧЕВЫЕ СЛОВА: аудит информационных технологий, Аудит информационных систем, COBIT, Аудит информационной инфрас­труктуры, Оценка человеческого капитала, Аудит эффективности, iSAcA, INTOSAI, Критерии эффективности, Performance audit (англ. яз.), Value for money studies (англ. яз.) .

ANNOTATION. The article analyzes the main issues in the executive branch. In this article purpose the system of comprehensive assessment of IT in municipal government.

KEY WORDS: audit of information technology, audit, COBIT, audit infor­mation infrastructure, human capital assessment, audit effectiveness, ISACA, INTOSAI, performance criteria, Performance audit, Value for money studies.

© О. В. Головчук, 2011

430

Постановка проблеми. У світі за останнє десятиліття обсяг відрахувань до сфери ІТ значно зріс і в даний час сума інвестицій в інформаційні технології становить до 10-20% від чистого при­бутку компаній, а в період інтенсивного розвитку - навіть більше.

Та чи доцільно інвестувати такі суми в ІТ? На сьогоднішньому етапі становлення інформаційного суспільства це питання є до­сить актуальним.

Стан дослідження проблеми. Епістемологія внутрішнього аудиту інформаційних технологій в органах виконавчої влади структурно містить в собі два незалежні елементи. Вчені розгля­дають окремо аудит інформаційних технологій і аудит ефектив­ності, перший з яких містить в собі ще ряд різних стандартів і методів. Як зазначають експерти, існують десятки ознак класифі­кації аудиту, за якими виділяють майже сто його видів, одним з яких є і аудит інформаційних технологій. З терміном внутрішній ІТ-аудит пов'язані методологічні розробки асоціації ISACA, що є засновниками «Кодексу професійної етики для аудиторів» та найважливіше — авторами стандарту проведення аудиту інфор­маційних технологій — COBIT (остання редакція 4.1). Як показує дослідження міжнародної організації INTOSAI, що спеціалізу­ється на аудиті інформаційних технологій, в період жовтень— грудень 2008 року [1] набувають все більшої популярності при плануванні ІТ-аудиту такі стандартні методології управління ризи­ками та планування, як COBIT, які застосовуються в 75 відсотках компаній. Хоча даний метод є достатньо популярним серед ауди­торів багатьох країн світу, він не досліджує такий важливий ас­пект як захист інформації.

Мета. Внутрішній ІТ-аудит організацій доцільно розглядати як сукупність методології оцінки ризиків ІТ-процесів, аналізу апаратного забезпечення та аудиту інформаційної безпеки.

Виклад основного матеріалу. Наукові теоретичні і практичні розробки з оцінки рівня інформаційного захисту є досить актуаль­ними в США. Так, наприклад, Роберт Девіс (Robert Davis ), який є сертифікованим аудитором СІСА, в своїй монографії «Informa-tion Systems Auditing: The IS Audit Planning Process» [2] аналізує загально теоретичні аспекти в плануванні ІТ-аудиту за методоло­гією ISACA. Науковець робить акцент на практичних проблемах застосування методів проведення ІТ-аудиту. Крім того Роберт Девіс розглядає аудит безпеки даних як невід' ємну складову внут­рішнього аудиту інформаційних технологій.

Проте слід зазначити, що за тими ж даними асоціації міжна­родних аудиторів ISACA, 12% респондентів є державними орга­нізаціями і, за винятком державних корпорацій, всі муніципальні органи самоврядування не мають можливості піддавати оцінці свої інформаційні ресурси за допомогою методології COBIT, оскільки вона базується на 34 основних бізнес-процесах, що не є характерними для органів влади. Натомість, з 1977 року з «Лім-ської декларації керуючих принципів контролю» формується но­вий вид аудиту — аудит ефективності, що є головним стандартом контролю видаткової частини державного бюджету. З початку останнього століття ця тематика заслужила особливої уваги в нау­кових дослідження. Зокрема в Україні даний напрямок аудиту є відносно новим, тому він досліджений поверхнево.

Незважаючи на великий обсяг наукових праць у галузі аудиту, ряд питань залишається невирішеними. Перш за все слід зазначи­ти, що в Україні відсутня єдина система стандартів, затверджена законодавством, що регламентує аудиторську діяльність в різних сферах. Постановою Кабінету Міністрів України від 10.08.2004 № 1017 затверджено Порядок проведення органами державної конт­рольно-ревізійної служби аудиту ефективності виконання бю­джетних програм, пізніше Уряд замінив термін «аудит ефектив­ності» на «державний фінансовий аудит»[3]. Зазначений Порядок регламентує діяльність внутрішнього контролю Міністерства фі­нансів України, він є єдиним на даний час діючим вітчизняним нормативним документом, який офіційно визначає значення тер­міну державний фінансовий аудит.

Натомість, згідно Стандартів аудиту (Auditing Standards), прий­нятим rNTOSA!, [4] державний аудит включає в себе regularity audit - аудит правильності (по суті аудит в його традиційному розумінні) і performance audit - аудит ефективності. Аудит правиль­ності складається з традиційного фінансового аудиту, а також ау­диту систем внутрішнього контролю і аудиту чесності і правиль­ності адміністративних рішень, прийнятих у перевіреній органі­зації або програмі. В той час, як аудит ефективності займається перевіркою економічності (economy), ефективності (efficiency) та результативності (effectiveness). Окрім того, у Великобританії ді­яльність, що позначається LNTOSA! як «performance audit», нази­вають «value-for-money studies», що можна перекласти як «ви­вчення того, яку цінність ми отримуємо за наші гроші ». На мій погляд, даний термін добре передає зміст цієї діяльності — ви­значення цінності вироблених суспільних благ і якості процесу їх виробництва або ж наданих послуг. Тобто, в українській практиці поняття аудиту правильності та ефективності ототожнюють.

Другою проблему в дослідженні постає відсутність стандарту для оцінки і контролю інформаційних технологій в органах вико­навчої влади. Так, контрольно-ревізійна служба не проводить дер­жавний фінансовий аудит в департаменті інформатизації Мініс­терства економічного розвитку і торгівлі України. Інформаційні ресурси виділяються щорічно в мінімальних обсягах. Щорічно сума державних інвестицій в ІТ департаменту інформатизації становить приблизно 4 млн грн, в той час як Росія і США виді­ляють відповідно 12 млн. дол. [5], 1,5 млрд дол. на рік [6]. Хоча первинна оцінка департаменту інформатизації Міністерства еко­номічного розвитку і торгівлі України формувала б вектор-базис у його розвитку , аудит ефективності виконував функцію система­тичного моніторингу. Слід зазначити, що формування такої сис­теми аналізу і контролю інформаційних технологій в органах ви­конавчої влади, повинно розглядатися в контексті нормативно-правової бази, що надаватиме статус легітимності.

Третім невирішеним завданням залишається відсутність уні­версального плану проведення аудиту інформаційних технологій органів виконавчої влади в розрізі performance audit (аудиту ефек­тивності). Семантика даної проблеми полягає у практичному ви­значенні критеріїв оцінки ефективності, в тому числі тих, що доз­воляють оцінити користь від діяльності органів державної влади. Як зазначають Нобелевські лауреати по економіці Джозеф Стиг-лиць (Joseph Stiglitz) и Амартия Сен (Amartya Sen) у своїх дослі­дженнях, саме застосування «неадекватних» критеріїв та індика­торів економічного росту, таких, наприклад як ВВП, створило передумови для світової економічної кризи. [7] Неадекватність ВВП як критерію економічного росту, з точки зору зазначених науковців полягає у тому, що він не враховує змін у добробуті, не дозволяє порівняти добробут в різних країнах, тобто, не враховує соціальної складової. Як зазначає Д.Стиглиць: «Якщо ви покра­щуєте якість життя, і це не відображається у сфері споживання або в темпах росту ВВП, то вас будуть критикувати». Аналогічно і в аудиті ефективності: вибір «неадекватних критеріїв» оцінки інформаційних технологій в органах державної влади призводить до того, що висновок буде зроблено не відповідний до першочер­гових завдань.

Ще одним актуальним питанням дослідження постає комплекс­на оцінка інформаційних технологій. Так, кожний стандарт дає змогу проаналізувати і робити висновки щодо певного аспекту діяльності департаменту інформатизації. Проте для формування стратегії розвитку департаменту в процесі трансформації Мініс­терства економіки в Міністерство економічного розвитку та тор­гівлі України рекомендована синергетика всіх складових при оцінці стану об' єкта. Тому, постало завдання об' єднати аудит ін­формаційних технологій і аудит ефективності в одну систему. На мій погляд, кращим способом отримати результат такого ауди­ту проаналізувати складові внутрішнього ІТ-аудиту за основ­ними загальними критеріями performance audit (див. табл. 1). Окрім того, характеристикам ІТ-аудиту властива декомпозиція, тобто кожну з характеристик можливо поділити на ряд складо­вих, які можуть бути як динамічними так і статичними, проте в сумі кількісна оцінка цих елементів рівна відповідному загаль­ному критерію. Тому функціонально це матиме такий вигляд:

a,, =

tk, (1),

і=1

де a а відповідний критерій ефективності, де -та характеристи­ка аудиту, j-ий — критерій аудиту, kl — оцінка і-го структурно­го елементу, p — кількість структурних елементів.

Тобто з точки зору ефективності використання бюджетних коштів — система враховуватиме всі можливі параметри. Дані критерії оцінки служитимуть результатом аналізу таких об' єктів аудиту департаменту інформатизації як апаратне забезпечення, інформаційна система та ІТ-персонал. Слід зазначити, що біль­шість аудиторських компаній, що існують на ринку внутрішнього ІТ — аудиту в комплексі оцінюють тільки перші два елементи. Проте, третьою характеристикою, і не менш важливою, у внут­рішньому аудиті департаменту інформатизації є працівники де­партаменту. Як показали дослідження INTOSAI [3] 55 відсотків опитаних представників служби внутрішнього аудиту воліють наймати готових фахівців, що говорить про брак відповідних кад­рів в самій компанії. Однак у нинішній ситуації, коли компанії прагнуть максимально скоротити свої витрати, наймання нових фахівців не завжди є найкращим виходом. Як наслідок, сьогоднів організаціях все частіше прагнуть ростити своїх власних фа­хівців, направляючи їх на різні курси навчання та підвищення кваліфікації. Проте в Україні ситуація дещо інша. В органах дер­жавної влади спеціалісти з інформаційних технологій не бажають працювати через різницю в оплаті праці мінімум в 5 раз в порів­нянні з комерційними організаціями.

Таблиця 1

ФОРМУВАННЯ ПОКАЗНИКІВ ОЦІНКИ ІТ-АУДИТУ ОРГАНІВ ВИКОНАВЧОЇ ВЛАДИ

~^.^}£арактеристика ІТ — аудиту

Критерій ефективності

Апаратне забезпе­чення

Інформа­ційні сис­теми

ІТ-

персонал

Економічність використання ресурсів

 

a12

a13

Ефективність використання ресурсів

b11

 

 

Результативність

c11

С12

C13

Відповідно до Лімської декларації керівних принципів конт­ролю (аудиту) критерії аудиту ефективності визначають:

• економічність (economy) використання ресурсів — придбан­ня ресурсів у достатній кількості і потрібної • якості при мініма­льних витратах;

• ефективність (efficiency) використання ресурсів — досяг­нення максимально можливої віддачі від наявних ресурсів для кожного виду діяльності;

• результативність (effectiveness) — відповідність фактичних результатів запланованим; іншими словами, прагнення до того, щоб діяльність забезпечувала на виході очікуваний результат.

Графічно процес ІТ-аудиту органів виконавчої влади поданий в рис. 1.

Економічність

викроерсиусртсаівння

(показник А)

^5=

(показник B)

Рис. 1. Процес ІТ-аудиту органів виконавчої влади

Показники А, В і С визначаються наступним чином:

A = t ap (2),

i=1

де a а відповідний критерій ефективності, де -та характерис­тика аудиту, а -ий критерій аудиту

B = t bj (3),

=1

де bj — відповідний критерій ефективності, де i -та характерис­тика аудиту, j -ий — критерій аудиту

C = t c j (4).

=1

де c j відповідний критерій ефективності, де -та характерис­тика аудиту, j -ий — критерій аудиту

Критерій А показує мінімальні фінансові витрати для забезпе­чення необхідними ІТ-ресурсами орган виконавчої влади.

Критерій В показує максимальну віддачу (у грошовому вира­зі) від використання ресурсів, кількість яких визначається за до­помогою критерію А.

Критерій С служить контрольним показником, що визначає відхилення значення показника від планового.

Для знаходження значення структурних елементів критерію А, використаємо модель лінійного програмування (5). Дана мо­дель є задачею пошуку оптимального набору ресурсів при мінімі­зації витрат на їх купівлю.

p

a j =t c,x, -> min, x, > 0 (5),

і=1

де a j відповідний критерій ефективності, де -та характерис­тика аудиту, j -ий — критерій аудиту, c, — ціна та xt — кіль­кість і -го структурного елементу характеристики ІТ-аудиту, p — кількість структурних елементів характеристики ІТ-аудиту.

Для знаходження значення структурних елементів критерію В, використаємо модель лінійного програмування (6). Дана модель полягає в максимізації ефекту від використання ІТ ресурсів

n

bij =t elXl — maX,  Xl > 0 (6)

і=1

де b j ефективність використання  -тої характеристики аудиту j -ого — критерію аудиту, et — коефіцієнт ефективності та xtкількість l -го структурного елементу характеристики ІТ-аудиту, p - кількість структурних елементів характеристики ІТ-аудиту.

Структурні елементи критерію С визначаються як різниця між реальним значенням ефективності використання ресурсів в пото­чному періоді та попередньому(7). Значення структурного еле­менту c j повинне бути більше або рівне нулю.

cj = bj - bp, cj > 0 (7),

де c j результативність використання -тої характеристики ау­диту j -ого — критерію аудиту, bj — ефективність використання i -тої характеристики аудиту j -ого — критерію аудиту в плано­вому періоді, b p j - ефективність використання -тої характерис­тики аудиту j -ого — критерію аудиту в попередньому періоді

В результаті, формуємо систему з трьох критеріїв ефективнос­ті (8). Оптимальна кількість інформаційних ресурсів буде роз-в' язком системи з трьох функцій-критеріїв ефективності. Крите­рій С — оцінка ІТ — аудиту в органах виконавчої влади. Саме цей показник дасть змогу стверджувати про ефективну ІТ-стра-тегію в державних органах влади.

p

aу = t cixi — min,x, > 0

n

'b j = t elxl — max, x, > 0 (8)

Страницы:
1  2 


Похожие статьи

О В Головчук - Аудит інформаційних технологій в органах виконавчої влади