2015-03-22
398
Оптимальным способом регулирования в любом сегменте экономической деятельности является свободная рыночная конкуренция. Сектор информационного аудита не является исключением. Свободный выбор заказчиком аудита из числа конкурирующих предложений гарантирует заказчику приемлемое для него соотношение цены и качества предлагаемых услуг. На свободном рынке компетентность потенциальных исполнителей может быть подтверждена независимой сертификацией, в том числе международных профессиональных сообществ или саморегулируемых организаций, а также деловой репутацией и историей компании.
Оказание услуг информационного аудита государственных ИКТ-систем не связано с угрозами для жизни или здоровья людей, и несёт ограниченную опасность для имущества граждан и организаций (в основном в части нарушения режимов распространения информации с ограниченным кругом доступа, содержащихся в этих системах). Наличие конкуренции, возможность профессиональной сертификации услуг аудиторов, возможность страхования ответственности позволяют отказаться от такой жёсткой модели регулирования информационного аудита, как лицензирование.
Следует отметить, что информационный аудит ИКТ-систем частных компаний не является предметом настоящей Концепции, в настоящее время такой аудит не является обязательным, и предлагаемая модель регулирования к такому аудиту отношения не имеет.
Предлагается разрешить осуществление информационного аудита государственных ИКТ-систем как специализированным организациям, для которых данная деятельность является основной, так и организациям, совмещающей деятельность по информационному аудиту с услугами в сфере финансового аудита, финансового и управленческого консалтинга, разработки и интеграции компьютерных систем и приложений, а также в иных сферах деятельности. Налагать ограничения на совмещение информационного аудита с иными видами деятельности нецелесообразно.
К информационному аудиту могут быть также допущены и аудиторы - частные лица, осуществляющие свою профессиональную деятельность как предприниматели без образования юридического лица. Такой вид частной профессиональной деятельности нуждается в законодательном закреплении, поэтому расширение круга информационных аудиторов за счёт включения в него частных лиц, работающих как предприниматели, целесообразно осуществлять на более поздних этапах внедрения института информационного аудита.
На первом этапе для аудиторских организаций предлагается устанавливать ограничения на допуск к осуществлению аудита ИКТ-систем, используемых в процессах государственного управления, исключительно в связи с требованиями охраны информации, отнесённой к одному из видов информации с ограниченным кругом доступа.
3.2. Регулирование допуска к информации с ограниченным кругом доступа
Основной риск, нуждающийся в регулировании со стороны государства, состоит в допуске информационного аудитора к государственным ИКТ-системам, содержащим информацию информации с ограниченным кругом доступа. Круг доступа к определённым видам информации (государственной тайне, коммерческой тайне, персональной информации и т.п.) может быть ограничен законодательно, при этом государство имеет обязанности по охране такой информации, если она находится в государственных ИКТ-системах. В связи с наличием этой обязанности, государство вправе устанавливать дополнительные требования к организациям, осуществляющим информационный аудит таких систем. Такие требования должны быть предусмотрены законодательством, устанавливающим информационные режимы для информации с ограниченным кругом доступа.
Требования к аудиторам в связи с допуском к информации с ограниченным кругом доступа должны быть публичными, не носить запретительного характера, их выполнение должно быть проверяемо. Организациям, желающим принимать участие в конкурсах, или иным способом оказывать услуги информационного аудитора государственных ИКТ-систем, должна быть предоставлена возможность получения допуска для своих сотрудников к выполнению для заказчиков аудита работ по аудиту систем, содержащих информацию с ограниченным кругом доступа.
Если при конкурсном отборе аудиторов для проведения аудита ИКТ-систем не получено предложений от аудиторских организаций, имеющих право доступа к информации аудируемой ИКТ-системой, должна быть рассмотрена возможность проведения информационного аудита в части, не предполагающей доступ к ограниченной информации.
При невозможности назначения аудитора для проведения обязательного аудита информации с ограниченным кругом доступа предлагается возложить обязанность проведения аудита в части, связанной с получением такой информации на аудиторов Счётной палаты (внешний контроль).
Требование наличия допуска не должно применяться в случае заказа гражданином за свой счёт аудита исключительно информации о себе (персональных данных) в любой государственной ИКТ-системе, и аудита действий, предпринятых в отношении этой информации. При заказе такого аудита гражданин самостоятельно определяет, доверяет ли он аудиторской организации свою персональную информацию.
3.3. Стандартизация информационного аудита
3.3.1. Система стандартизации аудиторской деятельности
Аудиторские стандарты формулируют единые базовые требования к качеству аудита и обеспечивают определенный уровень результатов аудиторской проверки при их соблюдении. Цель разработки и применения аудиторских стандартов – обеспечить единообразное пониманием основных принципов и целей аудита, прав и обязанностей аудитора, методов и приемов формирования и выражения независимого аудиторского мнения. Стандарты также являются основанием оценки качества проведения аудита и определения меры ответственности аудиторов при недобросовестном выполнение аудиторской проверки.
Система стандартизации образует иерархию – международные стандарты, национальные стандарты, стандарты организаций (внутрифирменные стандарты).
Международные стандарты в области финансового и нефинансового аудита являются результатом активности международных органов стандартизации, как правило, они воплощают лучшие образцы международной практики. Однако их прямое действие как обязательных на территории отдельных государств зависит от национальных моделей регулирования.
Отношения между двумя верхними уровнями в иерархии стандартов различаются в разных странах. Ряд стран (например, Канада, Великобритания и США) принимают к сведению положения международных стандартов, другие страны (Австралия, Голландия) используют международные стандарты для разработки национальных стандартов. Многие страны не разрабатывают собственные стандарты аудита и применяют международные стандарты в качестве национальных. Россия не имеет стандартов в области нефинансового аудита, а в финансовом аудите выбрала самостоятельную разработку национальных стандартов на основе международных стандартов аудита.
Национальные стандарты аудита определяют лишь общий подход к его проведению, виды отчетов аудиторов, вопросы методологии, а также основные принципы, которым должны следовать аудиторы. Ни международные, ни национальные стандарты не регламентируют конкретные действия, приемы, процедуры, применяемые в процессе проведения проверки. Они могут быть различными, и их рациональность определяется самими аудиторами (аудиторской организацией). Для этой цели служат внутрифирменные стандарты аудита.
Внутрифирменные стандарты разрабатываются на основе национальных, учитывают специфику работы аудиторской фирмы и раскрывающие содержание конкретных процедур проведения проверки, сбора аудиторских доказательств, их документирования, политики взаимоотношений с клиентами, внутренней отчетности аудиторской организации, прав и обязанностей сотрудников и др. Внутрифирменные стандарты играют роль практического руководства для всех сотрудников аудиторской организации.
В то же время внутрифирменные стандарты не должны быть излишне детализированными, сковывать инициативу аудитора, так как это может превратить аудит в механический сбор сведений, не подкрепленный профессиональными суждениями.
Подготовка внутрифирменных аудиторских стандартов – процесс трудоемкий, требующий значительных теоретических знаний, практического опыта. Поэтому во многих случаях аудиторские организации готовы делегировать разработку типовых или рекомендуемых стандартов профессиональным объединениям или ассоциациям, объединяя свои средства и частично опыт и экспертизу для получения качественных документов с наименьшими издержками.
3.3.2. Международная стандартизация в сфере информационного аудита
Признанным органом международной стандартизации в сфере информационного аудита является Международная Ассоциация Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA, https://www.isaca.org/).
Учрежденная в 1969 году, ISACA является разработчиком стандартов и присваивает международные квалификации Сертифицированный аудитор информационных систем (Certified Information Systems Auditor - CISA) и Сертифицированный менеджер информационной безопасности (Certified Information Security Manager - CISM). ISACA осуществляет образовательную деятельность и выступает организатором международных конференций, В настоящее время ISACA объединяет более 47 000 членов в 140 странах и имеет представительства в 60 странах.
ISACA является признанным мировым лидером в области управления, контроля и аудита информационных систем. ISACA проводит фундаментальные исследования в области разработки Стандартов аудита и контроля информационных систем. Учрежденный IACA в 1998 году Институт управления ИТ является "базой знаний" по методикам управления b развития информационных технологий в организациях.
Российское отделение ISACA – Ассоциация аудиторов информационных систем (https://www.isaca-russia.ru).
В рамках ISACA принят кодекс профессиональной этики, обязательный для членов. Следование стандартам и принятым процедурам осуществления информационного аудита и контроля стоит на первом месте в этом кодексе.
Система стандартизации ISACA основана на трёх группах документов: стандартах, руководствах и процедурах (https://www.isaca.org/standards).
Стандарты (IS Auditing Standards) являются обязательными требованиями для проведения сертифицированными специалистами информационного аудита и предоставления его результатов. Руководства (IS Auditing Guidelines) и процедуры ((IS Auditing Procedures) являются детальными пособиями, направленными на обеспечение достижения стандартов. Руководства являются документами, которым аудитор обычно следует, но от которых аудитор может отклоняться, если такое решение после изучения доступной аудитору информации представляется ему обоснованным. Процедуры содержат детальные шаги, выполняемые информационным аудитором, и являются более подробными документами, чем руководства. Процедуры содержат конкретные примеры и в определённой степени могут служить образцами лучшей профессиональной практики в сфере информационного аудита.
3.3.3. Стандартизация в российской аудиторской деятельности
В России сегодня отсутствует законодательная регламентация информационного аудита как вида профессиональной деятельности, требующего специального регулирования.
Так как информационный аудит во многом схож с финансовым аудитом, следует остановиться на российской модели стандартизации в сфере финансового аудита.
В соответствии с федеральным законом «Об аудиторской деятельности» (Статья 9), федеральные правила (стандарты) аудиторской деятельности утверждаются Правительством Российской Федерации и являются обязательными для аудиторских организаций, индивидуальных аудиторов, а также для аудируемых лиц, за исключением положений, в отношении которых указано, что они имеют рекомендательный характер.
Требования внутренних правил (стандартов) аудиторской деятельности профессиональных ассоциаций, аудиторских организаций и индивидуальных аудиторов не могут быть ниже требований федеральных правил (стандартов) аудиторской деятельности.
При этом закон не содержит ссылок на требования международных стандартов. Однако сами утверждённые Правительством РФ стандарты содержат упоминание о том, что при их разработке учитывались международные стандарты.
3.3.4. Модель стандартизации в российском информационном аудите
В связи с изложенными выше принципами свободного доступа к оказанию услуг информационного аудита стандартизация в информационном аудите приобретает особое значение. Сегодня в российском государственном регулировании приобретает всё больший вес подход к системе стандартизации как к добровольному институту, соответствие требованиям которого стимулируется выгодой для участников рынка. При таком подходе сфера обязательного регулирования ограничивается законами и регламентами, призванными регулировать только вопросы безопасности.
Развитие системы профессиональных российских стандартов в сфере информационного аудита будет происходить постепенно по мере формирования соответствующего рынка. Неизбежно в основу этих стандартов лягут положения международных стандартов, далее практика работы российских аудиторов позволит уточнять и развивать эти положения. Вмешательство государства с целью ускорить создание системы стандартов и в той или иной форме сделать следованием им обязательным не представляется целесообразным.
При формировании рынка информационного аудита для органов государственной власти и управления роль государственных органов в процессах стандартизации должна состоять исключительно в поощрении добровольного следования лучшим практикам, воплощённым в международных и национальных стандартах. С этой целью государственные органы, не делая следование стандартам обязательным, должны руководствоваться оценкой наличия и качеством стандартов при формировании требований для конкурсного отбора аудиторов для выполнения государственных заказов.
3.4. Страхование ответственности
Возможное причинение аудитором или аудиторской организацией ущерба интересам граждан или государства в процессе информационного аудита должно быть застраховано. Аудиторская организация, не имеющая страховки ответственности перед третьими лицами, не может быть допущена к аудиту ИКТ-систем, используемых органами государственной власти и управления.
В соответствии со ст. 1068 Гражданского кодекса Российской Федерации вред, причиненный работником юридического лица при исполнении трудовых (служебных, должностных) обязанностей, возмещает юридическое лицо. Исходя из этого, аудиторская организация должна быть обязана застраховать свою гражданскую ответственность перед третьими лицами за вред, причиненный аудиторами при исполнении своих обязанностей.
Для данного вида страхования должны быть установлены нормативными правовыми актами правила определения страховой суммы. Правила страхования гражданской ответственности при проведении информационного аудита должны подлежать регистрации страховыми компаниями в соответствующих надзорных органах наравне с иными правилами страхования. В связи с высокой степенью конкуренции на рынке страховых услуг, страховая премия (стоимость страховки) в регулировании не нуждается.
Требование наличия обязательной страховки может быть введено только на уровне федерального законодательства. До принятия соответствующего законодательного акта наличие страхования ответственности и величина страховой суммы могут применяться как критерии оценки конкурсных предложений при закупке услуг информационного аудита для государственных нужд.
3.5. Конкурсная закупка услуг для нужд государства
Органы государственной власти и управления часто будут выступать заказчиками аудита (обязательного или претензионного). Жёсткие критерии отбора информационных аудиторов, основанные на применении стандартов, могут применяться государством на этапе выбора аудиторской организации для выполнения работ по конкретному информационному аудиту.
При размещении государственного заказа на оказание услуг информационного аудита обязательные требования к участникам могут быть установлены только в связи с соответствием их требованиям, предъявляемым законодательством Российской Федерации (требования федерального закона N 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд»). При отсутствии законодательных требований ограничений по допуску к конкурам установлено быть не может. В частности, в настоящее время в законодательстве не присутствует каких-либо требований к информационным аудиторам.
Однако при составлении конкурсной документации государственный заказчик услуг информационного аудита вправе предъявлять требования к качеству услуг и учитывать эти требования при оценке конкурсных предложений (следует подчеркнуть, что этот набор требований должен трактоваться именно как набор требований заказчика, и не может считаться регулированием соответствующей деятельности). Требования к качеству услуг информационного аудита образуют фактический стандарт, соответствовать которому должна всякая аудиторская организация, претендующая на продажу своих услуг органам государственной власти и управления.
В частности, в требования к качеству услуг могут быть включены требования по соответствию каким-либо международным или национальным стандартам информационного аудита, или требования к наличию у аудиторской организации собственных стандартов качества услуг, а также внутренних процедур, регламентов и систем, обеспечивающих выполнение требований стандартов.
Государственный заказчик без законных оснований не вправе выдвигать требования к независимости аудиторской организации или к наличию у неё страховки гражданской ответственности. Однако независимость аудиторской организации и наличие страховки должны быть учтеня на этапе сравнения и оценки конкурсных предложений.
При претензионном аудите, осуществляемом гражданами за свой счёт, они вправе самостоятельно выбирать аудиторскую организацию. При этом граждане сами вправе определять требования к качеству услуг и особенности процедуры выбора аудиторской организации. Эти требования могут отличаться от требований государственных заказчиков, применимых при государственной закупке услуг информационного аудита.
3.6. Свод мер регулирования
В соответствии с изложенным выше, на период становления института информационного аудита предлагается модель регулирования информационного аудита государственных ИКТ-систем, включающая следующие компоненты и обязательные условия:
· Право граждан самостоятельно определять аудиторскую организацию при заказе информационного аудита за свой счёт.
· Обязанность обеспечения конкуренции аудиторов путём выбора независимого аудитора на открытом конкурсе при закупке услуг информационного аудита органами государственной власти и управления.
· Применение требований к качеству услуг информационных аудиторов, обязательное при закупке услуг информационного аудита органами государственной власти и управления за счёт средств бюджета.
· Обязательное соблюдение правил допуска к аудиту систем, содержащих информацию с ограниченным кругом доступа.
· Поощрение при закупке услуг информационного аудита через конкурсные процедуры независимости аудиторской организации.
· Поощрение при закупке услуг информационного аудита через конкурсные процедуры страхования гражданской ответственности перед заказчиком аудита, аудируемым лицом и третьими лицами, которым может быть причинён ущерб в процессе информационного аудита.
В соответствии с данной моделью:
· Любой аудитор поощряется иметь страховку профессиональной ответственности.
· При заказе претензионного аудита гражданами за свой счёт заказчик самостоятельно определяет требования к аудитору.
· При заказе регулярного или претензионного аудита государственными органами за счёт бюджета применяются требования к качеству услуг информационных аудиторов.
· Полный аудит систем, содержащих информацию с ограниченным кругом доступа, может быть заказан только аудитору, получившему соответствующий допуск.
· К аудиту исключительно персональных данных заказчика аудита и совершаемых с ними действий допускается любая аудиторская организация по выбору заказчика.
· К полному аудиту систем, не содержащих информацию с ограниченным кругом доступа, допускается любой аудитор по выбору заказчика (с учётом иных ограничений, применимых к заказчику, например, к государственному заказчику).
Развитие института аудита потребует со временем внесения изменений в модель регулирования. Развитие модели регулирования должно быть связано с законодательным закреплением обязательности информационного аудита для ИКТ-систем, обеспечивающих процессы государственного управления, как описано в разделе 2 выше.
3.6. Саморегулирование
Описанные механизмы регулирования должны быть дополнены механизмами саморегулирования, передающими профессиональному сообществу право определения лучших деловых практик и правил профессиональной этики в отрасли. Основной опасностью введения саморегулирования в любую отрасль является превращение институтов саморегулирования в аналог средневековых цехов, ограничивающих доступ новых участников на рынок. Для предотвращения такого развития событий участие СРО в регулировании информационного аудита должно удовлетворять ряду требований:
· Добровольность. Членство в СРО не может быть обязательным, государственное регулирование должно предоставлять возможность любой организации выполнить все установленные законодательно требования без членства в СРО.
· Конкурентность. Не может вводиться ограничений на число СРО, объединяющих организации отрасли.
Институты саморегулирования в сфере информационного аудита могут выполнять следующие функции:
· Одной из основных компонент оценки государственным заказчиком конкурсных предложений аудиторских организаций на соответствие требованиям к качеству услуг информационного аудита является наличие внутренних процедур, регламентов и систем, обеспечивающих выполнение требований. СРО компетентны разрабатывать для своих членов такие документы, соответствующие требованиям государства и практике бизнеса.
· Государство может поручить СРО проверку соответствия своих членов требованиям к качеству услуг информационного аудита. Членство в СРО и принятие процедур и требований СРО, обеспечивающих соответствие этим требованиям, снижает издержки аудиторских организаций на самостоятельную разработку внутренних документов и доказательство их соответствия требованиям. Из принципа добровольности членства в СРО следует, разумеется, что процедура подтверждения соответствия требованиям должна быть возможна и для организаций, не вступающих в СРО, что означает обязанность заказчика аудита при проведении торгов самостоятельно оценивать соответствие.
· Членство в СРО может снижать страховую премию (стоимость обязательной страховки) при страховании гражданской ответственности для аудиторских организаций. Страховые компании могут быть заинтересованы в сотрудничестве с СРО, если они сочтут, что требования СРО способны снизить риск наступления страхуемых случаев причинения ущерба аудитором.
· СРО могут также осуществлять иные виды профессиональной деятельности, такие, как организация обучения членов, обмен опытом в виде конференций и семинаров, издание профильной литературы, и многое другое.
Несмотря на то, что на граждан, выступающих заказчиками претензионного аудита за свой счёт, не возлагается никаких обязательств по уровню требований к аудиторским организациям (за исключением страховки и допуска к охраняемым данным, если он требуется), именно для этой категории заказчиков членство в СРО может являться существенным конкурентным преимуществом.
Предложенная модель сочетания регулирования и саморегулирования в отрасли позволяет обеспечить защиту прав и интересов граждан при проведении информационного аудита ИКТ-систем, используемых в государственном управлении.
