Аудит ефективності IT-систем стратегічних об’єктів державного управління
DOI:
https://doi.org/10.26642/jen-2017-2(80)-60-65Ключові слова:
аудит ефективності, державний аудит, ІТ-системи, методика аудиту ефективності, оцінка ризиківАнотація
Хакерські атаки кінця 2016 р. та початку 2017 р. на урядові інформаційно-телекомунікаційні системи, серед яких Міністерство фінансів України, Державна казначейська служба, призвели до масштабних затримок бюджетних виплат. Вони засвідчили вразливість і відкритість урядових установ для кібератак через відсутність контрольованості трьох основних заходів безпеки, таких як: технічне обмеження на програми завантаження, обмежене використання прав локальних адміністраторів, систематичні оновлення програмного забезпечення. Як засвідчує міжнародний досвід, ці заходи безпеки урядових ІТ-систем мають бути предметом аудиту органів державного фінансового контролю.
Базові засади аудиту інформаційних технологій започатковані в дослідженнях І.К. Дрозд, С.В. Івахненкова, М.М. Бенько, Ю.А. Кузьмінського, А.В. Мамишева. Водночас, питання державного аудиту ІТ-систем у теоретичних дослідженнях розглядалися обмежено, оскільки в Україні відсутня практика такого аудиту.
Тому є необхідність вивчення міжнародної практики аудиту ефективності ІТ-систем та світових норм установ сектору державного управління.
Дослідження дозволило запропонувати методологію аудиту ефективності ІТ-систем для державних установ, яка передбачає планування та проведення основних процедур на основі оцінки ризиків загроз безпеки інформаційних систем.
Автором визначено особливості управління ризиками безпеки ІТ-систем шляхом оцінки ризиків складових безпеки ІТ-систем під час аудиту ефективності, запропоновано метод низхідної покрокової деталізації для аудиторської оцінки ефективності управління ризиками ІТ-систем на стратегічних об’єктах сектору державного управління шляхом адаптації норм стандартів ISSAI.
Запропоновано три можливі варіанти рішень керівництва щодо управління ризиками безпеки ІТ-систем на основі інформації про рівні ризику за результатами аудиту ефективності. Для документування результатів аудиту ефективності ІТ-систем розроблено типові форми робочих документів аудитора, а саме: «Повідомлення про уразливість інформації і визначення категорії захисту», «Оцінка наслідків і загроз для діяльності».
Подальші дослідження питання аудиту ефективності ІТ-систем вбачаються у розробці організаційних заходів щодо проведення Рахунковою палатою перевірок безпеки ІТ-систем стратегічних об’єктів сектору державного управління.
Посилання
Derzhavna kaznachejs'ka sluzhba Ukrai'ny (2017), «Materialy Kolegii' Kaznachejstva», Oficijnyj sajt Derzhavnoi' kaznachejs'koi' sluzhby Ukrai'ny, Redakcija vid 17 ljutogo, available at: http://www.treasury.gov.ua/main/uk/publish/article/352513
Ivakhnenkov, S.V. and Heorhiadi, A. (2013), «Ukrainian Businesses’ Characteristics and the Use of Information Technology: Introduction to Exploratory Studies», Наукові записки НаУКМА, Vol. 146, pp. 39–44.
Ben'ko, M.M. (2013), «Mozhlyvosti zdijsnennja finansovogo audytu u seredovyshhi informacijnyh tehnologij», Visnyk ZhDTU, Serija Ekonomichni nauky, No. 2 (64), pp. 3–7.
Mizhnarodna organizacia vyshhyh organiv finansovogo kontrolju, ISSAI 5310 «Metodyka perevirky bezpeky informacijnyh system», Oficijnyj sajt Mizhnarodnoi' organizacii' vyshhyh organiv finansovogo kontrolju, available at: http://www.intosai.org/issai-executive-summaries/view/article/issai-5310-information-system-security-review-methodology.html
Mizhnarodna organizacia vyshhyh organiv finansovogo kontrolju, ISSAI 1300 «Planning an Audit of Financial Statements», Oficijnyj sajt Mizhnarodnoi' organizacii' vyshhyh organiv finansovogo kontrolju, available at: http://www.issai.org/en_us/site-issai/issai-framework/4-auditing-guidelines.htm
Дрозд, І.К. and Шевчук, В.О. (2007), Державний фінансовий контроль, ТОВ «Імекс-ЛТД», Kyi'v, 304 p.
Drozd, I.K. (2009), «Suchasni pidhody do systemyfinansovogo kontrolju», Galyc'kyj ekonomichnyj visnyk, No. 1 (22), pp. 164–168.
Andrjejev, P.P., Gizatulina, L.V. and Drozd, I.K. (2011), Vnutrishnij kontrol' ta audyt u sektori derzhavnogo upravlinnja Ukrai'ny ta jevropejs'kyj dosvid, Kafedra, Kyi'v, 130 p.
Ljubenko, A.M. (2016), Transformacija kontrolju dijal'nosti sub’jektiv derzhavnogo sektoru ekonomiky do mizhnarodnyh standartiv, avtoref. dys. … d-ra ekon. nauk: 08.00.09, buh. oblik, analiz ta audyt za vydamy ekon. dijal'n., TNEU, Ternopil', 36 p.
Derzhfininspekcija Ukrai'ny (2012), «Koncepcija ryzyk-orijentovanogo vidboru ob’jektiv kontrolju do Planu kontrol'no-revizijnoi' roboty Derzhfininspekcii' Ukrai'ny ta i'i' terytorial'nyh organiv», shvalena protokolom zasidannja Metodologichnoi' rady Derzhfininspekcii' Ukrai'ny, vid 23 kvitnja, N 7, available at: http://cons.parus.ua/map/doc/08DKX521BE/Protokol--7-zasidannya-Metodologichnoyi-radi-schodo-kontseptsiyi-rizikoriientovanogo-vidboru-obiektiv-kontrolyu-do-planu-kontrolnoreviziinoyi-roboti-Derzhfininspektsiyi-U.html
Kravchenko, Ju.P., Jefymenko, T.I., Gasanov, S.S. and Leonenko, P.M. (2014), «Rozvytok metodologii' kontrolju dijal'nosti bjudzhetnyh ustanov na osnovi ocinky ryzykiv», Modernizacija finansovoi' systemy Ukrai'ny v procesi jevrointegracii', in 2 parts, in Shlapak, O.V. and Jefymenko, T.I. (ed.), DNNU «Akad. fin. upravlinnja», Vol. 2, Kyi'v, 784 p., pp. 270–279.
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2017 Віталій Акімович Абасов
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial 4.0 International License.
Автор, який подає матеріали до друку, зберігає за собою всі авторські права та надає відповідному виданню право першої публікації, дозволяючи розповсюджувати даний матеріал із зазначенням авторства та джерела первинної публікації, а також погоджується на розміщення її електронної версії на сайті Національної бібліотеки ім. В.І. Вернадського та у відкритому доступі в електронному архіві університету та на сайті журналу.