- •Аудит информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием
- •Раздел 1. Сокращения и термины 3
- •Раздел 2. Институты информационного контроля и аудита 5
- •Раздел 3. Внедрение независимого информационного аудита 24
- •Раздел 1. Сокращения и термины
- •1. Используемые сокращения
- •2. Основные понятия и определения
- •Раздел 2. Институты информационного контроля и аудита
- •1. Актуальность проблем информационного контроля и аудита в эг
- •2. Объекты информационного контроля и аудита
- •3. Границы мандата аудитора
- •4. Контролируемые требования и критерии для государственных икт-систем
- •5. Система контроля и аудита икт-систем
- •5.1. Внутренний контроль.
- •5.2. Внешний контроль.
- •5.3. Независимый аудит
- •5.4. Единство системы контроля и аудита
- •6. Независимость частного информационного аудита
- •7. Методики информационного аудита
- •7.1. Планирование аудита.
- •7.2. Проведение обследования
- •7.3. Обработка и оценка собранной информации.
- •7.4. Подготовка и обсуждение выводов аудита
- •7.5. Подготовка и предоставление аудиторского заключения и рекомендаций
- •Раздел 3. Внедрение независимого информационного аудита
- •1. Подходы к созданию института независимого аудита
- •2. «Легализация» информационного аудита
- •3. Модели регулирования и саморегулирования аудиторов и аудиторских организаций
- •3.1. Свобода доступа на рынок
- •3.2. Регулирование допуска к информации с ограниченным кругом доступа
- •3.3. Стандартизация информационного аудита
- •3.4. Страхование ответственности
- •3.5. Конкурсная закупка услуг для нужд государства
- •3.6. Свод мер регулирования
- •3.6. Саморегулирование
- •4. Модель применения информационного аудита
5.3. Независимый аудит
Независимый аудит осуществляется аудиторской организацией, не входящей с аудируемым лицом в единую административную иерархию и не являющейся его аффилированным лицом по иным признакам (подробнее о независимости – см. ниже).
Полномочия аудитора в части проведения проверки аудируемого лица вытекают из нормативных правовых актов, определяющих необходимость аудита и регламентирующих определённые аспекты его проведения, а также из соглашения аудиторской организации с заказчиком аудита. Если заказчиком аудита выступает аудируемое лицо, договор с аудиторской организацией должен содержать исчерпывающий перечень полномочий аудитора, или ссылки на нормативные акты, определяющие эти полномочия. В тех случаях, когда заказчик аудита не совпадает с аудируемым лицом, обязанность аудируемого лица предоставить аудитору доступ к необходимой для проведения аудита информации определяется либо согласием аудируемого лица, либо нормами регулирования.
Во многих аспектах проведение независимого аудита схоже с внешним контролем. Аудит также проводится в определённые сроки, для него чётко определены дата начала и предмет контроля. Аудит может являться плановыми, например, ежегодный аудит. Внеплановый аудит производится в случае его заказа лицом, имеющим соответствующие полномочия.
Взаимодействие аудитора с аудируемой организацией происходит, как правило, через письменные запросы, адресуемые руководству организации, или к сотрудникам, уполномоченным руководством взаимодействовать с аудитором. Как и контролёры, аудиторы не вправе вмешиваться в работу аудируемого лица с требованием изменения каких-либо данных или совершения каких-либо действий, кроме предоставления данных аудитору. Аудиторское заключение направляется руководству аудируемого лица и заказчику аудита (если это третье лицо).
5.4. Единство системы контроля и аудита
Внутренний и внешний контроль и независимый аудит образуют целостную систему контроля и аудита деятельности органов государственной власти и управления, в том числе в части использования ими ИКТ-систем. Следует ещё раз подчеркнуть, что контроль любого вида не включает сам по себе инструментов изменения объектов контроля, наказания или поощрения каких-либо лиц. По итогам проведения контрольных мероприятий решения о конкретных действиях принимаются лицами, не входящими в систему контроля. Такие решения возлагаются на лиц, осуществляющих руководство контролируемой деятельностью непосредственно (руководство контролируемого лица), опосредованно (вышестоящие инстанции), либо на органы суда.
В настоящее время нормативная база и практика государственного управления предусматривают только использование механизмов внешнего контроля. Введение внутреннего контроля использования ИКТ органами государственной власти и управления является прерогативой руководства этих органов и не вменено им в обязанность. Независимый информационный аудит в настоящее время не применяется. Государственная стратегия в сфере контроля использования ИКТ-систем в процессах государственного управления должна состоять в развитии всех трёх форм контроля.
Реализация такой государственной стратегии должна быть подкреплена изменениями нормативной правовой базы, мерами организационного характера, предпринимаемыми внутри аппарата государственной власти, а также выделением соответствующих бюджетных средств на формирование служб внутреннего контроля и на проведение независимого информационного аудита.