АУДИТ ЕФЕКТИВНОСТІ ІТ-СИСТЕМ СТРАТЕГІЧНИХ ОБ’ЄКТІВ ДЕРЖАВНОГО УПРАВЛІННЯ

Віталій Акімович Абасов

Анотація


Хакерські атаки кінця 2016 р. та початку 2017 р. на урядові інформаційно-телекомунікаційні системи, серед яких Міністерство фінансів України, Державна казначейська служба, призвели до масштабних затримок бюджетних виплат. Вони засвідчили вразливість і відкритість урядових установ для кібератак через відсутність контрольованості трьох основних заходів безпеки, таких як: технічне обмеження на програми завантаження, обмежене використання прав локальних адміністраторів, систематичні оновлення програмного забезпечення. Як засвідчує міжнародний досвід, ці заходи безпеки урядових ІТ-систем мають бути предметом аудиту органів державного фінансового контролю.
Базові засади аудиту інформаційних технологій започатковані в дослідженнях І.К. Дрозд, С.В. Івахненкова, М.М. Бенько, Ю.А. Кузьмінського, А.В. Мамишева. Водночас, питання державного аудиту ІТ-систем у теоретичних дослідженнях розглядалися обмежено, оскільки в Україні відсутня практика такого аудиту.
Тому є необхідність вивчення міжнародної практики аудиту ефективності ІТ-систем та світових норм установ сектору державного управління.
Дослідження дозволило запропонувати методологію аудиту ефективності ІТ-систем для державних установ, яка передбачає планування та проведення основних процедур на основі оцінки ризиків загроз безпеки інформаційних систем.
Автором визначено особливості управління ризиками безпеки ІТ-систем шляхом оцінки ризиків складових безпеки ІТ-систем під час аудиту ефективності, запропоновано метод низхідної покрокової деталізації для аудиторської оцінки ефективності управління ризиками ІТ-систем на стратегічних об’єктах сектору державного управління шляхом адаптації норм стандартів ISSAI.
Запропоновано три можливі варіанти рішень керівництва щодо управління ризиками безпеки ІТ-систем на основі інформації про рівні ризику за результатами аудиту ефективності. Для документування результатів аудиту ефективності ІТ-систем розроблено типові форми робочих документів аудитора, а саме: «Повідомлення про уразливість інформації і визначення категорії захисту», «Оцінка наслідків і загроз для діяльності».
Подальші дослідження питання аудиту ефективності ІТ-систем вбачаються у розробці організаційних заходів щодо проведення Рахунковою палатою перевірок безпеки ІТ-систем стратегічних об’єктів сектору державного управління.


Ключові слова


аудит ефективності; державний аудит; ІТ-системи; методика аудиту ефективності; оцінка ризиків

Повний текст:

PDF

Посилання


Derzhavna kaznachejs'ka sluzhba Ukrai'ny (2017), «Materialy Kolegii' Kaznachejstva», Oficijnyj sajt Derzhavnoi' kaznachejs'koi' sluzhby Ukrai'ny, Redakcija vid 17 ljutogo, available at: http://www.treasury.gov.ua/main/uk/publish/article/352513

Ivakhnenkov, S.V. and Heorhiadi, A. (2013), «Ukrainian Businesses’ Characteristics and the Use of Information Technology: Introduction to Exploratory Studies», Наукові записки НаУКМА, Vol. 146, pp. 39–44.

Ben'ko, M.M. (2013), «Mozhlyvosti zdijsnennja finansovogo audytu u seredovyshhi informacijnyh tehnologij», Visnyk ZhDTU, Serija Ekonomichni nauky, No. 2 (64), pp. 3–7.

Mizhnarodna organizacia vyshhyh organiv finansovogo kontrolju, ISSAI 5310 «Metodyka perevirky bezpeky informacijnyh system», Oficijnyj sajt Mizhnarodnoi' organizacii' vyshhyh organiv finansovogo kontrolju, available at: http://www.intosai.org/issai-executive-summaries/view/article/issai-5310-information-system-security-review-methodology.html

Mizhnarodna organizacia vyshhyh organiv finansovogo kontrolju, ISSAI 1300 «Planning an Audit of Financial Statements», Oficijnyj sajt Mizhnarodnoi' organizacii' vyshhyh organiv finansovogo kontrolju, available at: http://www.issai.org/en_us/site-issai/issai-framework/4-auditing-guidelines.htm

Дрозд, І.К. and Шевчук, В.О. (2007), Державний фінансовий контроль, ТОВ «Імекс-ЛТД», Kyi'v, 304 p.

Drozd, I.K. (2009), «Suchasni pidhody do systemyfinansovogo kontrolju», Galyc'kyj ekonomichnyj visnyk, No. 1 (22), pp. 164–168.

Andrjejev, P.P., Gizatulina, L.V. and Drozd, I.K. (2011), Vnutrishnij kontrol' ta audyt u sektori derzhavnogo upravlinnja Ukrai'ny ta jevropejs'kyj dosvid, Kafedra, Kyi'v, 130 p.

Ljubenko, A.M. (2016), Transformacija kontrolju dijal'nosti sub’jektiv derzhavnogo sektoru ekonomiky do mizhnarodnyh standartiv, avtoref. dys. … d-ra ekon. nauk: 08.00.09, buh. oblik, analiz ta audyt za vydamy ekon. dijal'n., TNEU, Ternopil', 36 p.

Derzhfininspekcija Ukrai'ny (2012), «Koncepcija ryzyk-orijentovanogo vidboru ob’jektiv kontrolju do Planu kontrol'no-revizijnoi' roboty Derzhfininspekcii' Ukrai'ny ta i'i' terytorial'nyh organiv», shvalena protokolom zasidannja Metodologichnoi' rady Derzhfininspekcii' Ukrai'ny, vid 23 kvitnja, N 7, available at: http://cons.parus.ua/map/doc/08DKX521BE/Protokol--7-zasidannya-Metodologichnoyi-radi-schodo-kontseptsiyi-rizikoriientovanogo-vidboru-obiektiv-kontrolyu-do-planu-kontrolnoreviziinoyi-roboti-Derzhfininspektsiyi-U.html

Kravchenko, Ju.P., Jefymenko, T.I., Gasanov, S.S. and Leonenko, P.M. (2014), «Rozvytok metodologii' kontrolju dijal'nosti bjudzhetnyh ustanov na osnovi ocinky ryzykiv», Modernizacija finansovoi' systemy Ukrai'ny v procesi jevrointegracii', in 2 parts, in Shlapak, O.V. and Jefymenko, T.I. (ed.), DNNU «Akad. fin. upravlinnja», Vol. 2, Kyi'v, 784 p., pp. 270–279.


Пристатейна бібліографія ГОСТ


1. Матеріали Колегії Казначейства : Редакція від 17 лютого 2017 року // Офіційний сайт Державної казначейської служби України [Електронний ресурс]. – Режим доступу : http://www.treasury.gov.ua/main/uk/publish/article/352513.

2. Ivakhnenkov S.V. Ukrainian Businesses’ Characteristics and the Use of Information Technology: Introduction to Exploratory Studies / S.V. Ivakhnenkov, A.Heorhiadi // Наукові записки НаУКМА. – 2013. – Т. 146. – С. 39–44.

3. Бенько М.М. Можливості здійснення фінансового аудиту у середовищі інформаційних технологій / М.М. Бенько // Вісник ЖДТУ. Серія : Економічні науки. – 2013. – № 2 (64). – С. 3–7.

4. ISSAI 5310 «Методика перевірки безпеки інформаційних систем» // Офіційний сайт Міжнародної організації вищих органів фінансового контролю [Електронний ресурс]. – Режим доступу : http://www.intosai.org/issai-executive-summaries/view/article/issai-5310-information-system-security-review-methodology.html.

5. ISSAI 1300 – Planning an Audit of Financial Statements // Офіційний сайт Міжнародної організації вищих органів фінансового контролю [Електронний ресурс]. – Режим доступу : http://www.issai.org/en_us/site-issai/issai-framework/4-auditing-guidelines.htm.

6. Дрозд І.К. Державний фінансовий контроль : навч. посібник / І.К. Дрозд, В.О. Шевчук. – К. : ТОВ «Імекс-ЛТД», 2007. – 304 с.

7. Дрозд І.К. Сучасні підходи до системи фінансового контролю / І.К. Дрозд // Галицький економічний вісник. – 2009. – № 1 (22). – С. 164–168.

8. Внутрішній контроль та аудит у секторі державного управління України та європейський досвід : навч. посібник / П.П. Андрєєв, Л.В. Гізатуліна, І.К. Дрозд та інші. – К. : Кафедра, 2011. – 130 c.

9. Любенко А.М. Трансформація контролю діяльності суб’єктів державного сектору економіки до міжнародних стандартів : автореф. дис. … д-ра екон. наук : 08.00.09 – бух. облік, аналіз та аудит (за видами екон. діяльн.) / А.М. Любенко. – Тернопіль : ТНЕУ, 2016. – 36 с.

10. Концепція ризик-орієнтованого відбору об’єктів контролю до Плану контрольно-ревізійної роботи Держфінінспекції України та її територіальних органів : схвалена протоколом засідання Методологічної ради Держфінінспекції України : від 23.04.2012. – № 7 [Електронний ресурс]. – Режим доступу :

http://cons.parus.ua/map/doc/08DKX521BE/Protokol--7-zasidannya-Metodologichnoyi-radi-schodo-kontseptsiyi-rizikoriientovanogo-vidboru-obiektiv-kontrolyu-do-planu-kontrolnoreviziinoyi-roboti-Derzhfininspektsiyi-U.html.

11. Кравченко Ю.П. Розвиток методології контролю діяльності бюджетних установ на основі оцінки ризиків // Модернізація фінансової системи України в процесі євроінтеграції : у 2 т. / Т.І. Єфименко, С.С. Гасанов, П.М. Леоненко та ін. ; за ред. О.В. Шлапака, Т.І. Єфименко ; ДННУ «Акад. фін. управління». – К., 2014. – Т. 2. – 2014. – 784 с. – С. 270–279.





DOI: https://doi.org/10.26642/jen-2017-2(80)-60-65

Copyright (c) 2017 Віталій Акімович Абасов

Creative Commons License
Ця робота ліцензована Creative Commons Attribution-NonCommercial 4.0 International License.

Ліцензія Creative Commons
Це видання ліцензовано за ліцензією Creative Commons Із Зазначенням Авторства - Некомерційна 4.0 Міжнародна.