crt-service.ru

Обзор подготовлен

версия для печати
Специализированные формы ИТ-аудита

Специализированные формы ИТ-аудита

Информационная среда современного бизнеса достаточно разнообразна: методы и средства электронной коммерции, информационно-аналитические решения и продукты, разнообразные способы при обмене информацией и так далее. Руководители компаний зачастую не догадываются, какие потери они могут понести. На помощь приходят специализированные виды аудита.

Казалось бы, чем выше риск потенциальной потери, тем больше внимания должно уделяться проблеме. Но российский бизнес достаточно халатно относится к данному вопросу.

Крупная торгово-производственная компания, конструкторы которой делают схемы в профессиональном графическом приложении, разместила на своем сайте чертежи в открытом доступе в качестве примера выполненных работ. У всех документов всегда сохраняется служебная информация – кто, когда, в какой программе с ними работал. В свойствах одного документа было указано, что работа шла в нелицензионной программе. Поскольку поисковые системы в интернете индексируют документы, которые находятся на сайтах компаний, российское представительство разработчика графических приложений направило компании письмо с просьбой приобрести лицензионную версию, стоимость которой составляет около $2000. Предваряя возможный отказ, далее следовало предупреждение: в противном случае доказательства использования нелицензионного ПО будут переданы в правоохранительные органы.

Год от года число подобных дел, связанных с использованием нелицензионного ПО, растет. В данном случае цена вопроса была невелика, но если счет идет на десятки лицензий? Потому одним из самых востребованных видов специализированного ИТ-аудита становится проверка установленного программного обеспечения на предмет наличия нелицензионных продуктов.

Как только сотрудники не исхитряются, чтобы использовать любимые ими приложения. Например, в ход идут личные договоренности с системными администраторами. Ситуация очень распространенная, и потому возникает резонный вопрос: зачем же аудит? Оказывается, для минимизации соответствующего риска. За использование нелицензионного ПО Гражданским Кодексом предусмотрена гражданско-правовая ответственность, правообладатель может взыскать с нарушителя компенсацию в размере до 5 млн рублей. Определяется она по рассмотрению суда. "Суды в основном назначают максимальные суммы. Правообладателю надо доказать только, что он действительно обладает правами на программный продукт", – уточняет Дмитрий Малышев, директор департамента налоговой безопасности и судебной защиты "КСК групп".

По его словам, Кодекс об административных правонарушениях предусматривает административную ответственность руководителя организации, которая может вылиться в штраф в размере от 10 до 20 тыс. рублей. Кроме того, может быть взыскан штраф с организации в размере от 30 до 40 тыс. рублей. Казалось бы, суммы небольшие, но проблема в том, что штрафы налагаются одновременно с конфискацией экземпляров программного продукта, материалов и оборудования, которое используется для их воспроизведения. То есть предприятие теряет носитель информации. А мало ли, какая информация может оказаться на конфискованном носителе? Если же ПО стоит более 50 тыс. рублей, то действия нарушителей подпадают под статью 146 УК. "Если стоимость программных продуктов превышает 250 тыс. рублей либо нарушение совершено группой лиц по предварительному сговору либо с использованием своего служебного положения должностным лицом, то в этом случае нарушителям грозит максимальное наказание – лишение свободы до 6 лет со штрафом в размере до 500 тыс. рублей", – поясняет Дмитрий Малышев. В группу при определенных условиях могут войти и CEO, и CIO. Кстати, история с графическим приложением грозила именно уголовной ответственностью.

Безопасность и не только

Благодаря законодательным и отраслевым инициативам, сегодня много внимания уделяется информационной безопасности. Задачи ИБ, конечно, много шире, чем это прописано в нормативных положениях. И порой профильный аудит должен предусматривать неординарные аспекты.

Например, у каждой компании есть IP-адрес. Если вдруг предприятие является недобросовестным налогоплательщиком, и его IP-адрес используется другой компанией, то налоговая инспекция может признать организации взаимозависимыми. "Информацию об IP-адресе сообщают в налоговые и следственные органы банки (потому что это не является банковской тайной), операторы связи (по закону о связи они обязаны сообщать эту информацию), – рассказывает Дмитрий Малышев. – Если ваш контрагент – недобросовестный налогоплательщик (или работает непосредственно с недобросовестным налогоплательщиком), то эта информация может попасть в налоговые органы. И налоговые органы, в большинстве случаев, делают вывод, что работа построена в целях получения необоснованной налоговой выгоды". Ситуация чревата штрафами, доначислениями, отменой льгот, если таковые имеются.

Есть и откровенно мошеннические схемы. Представитель одного из топ-20 банков рассказывал, что банк получает около 50 неавторизованных платежных поручений в день. "Банк видит такой платеж, как будто он сделан из сети клиента, с его IP-адреса. Это ситуации, когда мошенники пытаются обманным путем получить деньги клиентов банка. Иногда клиентам удается приостановить подобные платежи, иногда – нет", – делится опытом Денис Селезнев, генеральный директор компании "Первая Форма". С юридической точки зрения, доказать банку, что подобный платеж не проведен по системе "Банк-клиент", почти невозможно: платеж подписывается электронной подписью. Причиной потерь Денис Селезнев считает отсутствие порядка в информационных системах. "Антивирусы не обновляются, операционная система несвоевременно получает обновления, у пользователей слишком много прав", – перечисляет он признаки опасной ситуации. Подобное положение вещей исправляется аудитом информационной системы. Обычно генеральный директор думает, что с ИТ-безопасностью его компании все в порядке. Аудит позволяет выявить все возможные риски потери информации, минимизировать их и сформировать безопасную бизнес-среду.

Нормализация учета

Казалось бы, как связано внедрение бизнес-приложения с аудитом? На самом деле с помощью информатизации многие компании стремятся навести порядок в учете, документообороте, попутно выявив и ликвидировав слабые места, избыточные бизнес-процессы, а порой и мошеннические схемы. Поэтому аудит бизнес-процессов порой предваряет их информатизацию, по ходу проекта устраняя или нормализуя процессы, приводящие к лишним расходам. Например, сложно назвать аудитом налаживание документооборота. С другой стороны, потеря или появление новой редакции документа чревата финансовыми потерями. Кроме того, неразбериха привлекает мошенников.

"Компания "Фармстандарт" образовалась в октябре 2003 года, активно росла и развивалась, и уже в первые 2 года начала испытывать сложности с документооборотом. Накапливались и периодически пропадали документы, возрастали сложности с сопровождением согласования и определения мест внесения корректировок, затягивались сроки и, как следствие, увеличивался штат акцептантов и сопровождающего персонала. При этом сильно затруднялась процедура определения ответственных за неисполнение сроков. В связи с увеличивающейся нагрузкой закономерно возникла тенденция к увеличению фонда оплаты труда", – вспоминает Дмитрий Садеев, заместитель генерального директора по управлению и развитию ИТ группы компаний "Фармстандарт". Руководство решило автоматизировать управление деловыми процессами.

На первом этапе в систему переводился документооборот компании. Перевод всех физических акцептантов с правом подписи в систему занял около года. "Любое преобразование в компании связано со стрессом и сложностями в работе. Этот проект не стал исключением, учитывая, что бумажное и электронное взаимодействие происходило параллельно, во избежание рисков окончательного срыва документооборота и демотивации персонала", – рассказывает Дмитрий Садеев. Сейчас у компании всего два физических акцептанта: генеральный директор и его заместитель по юридическим вопросам. Все остальные визы обрабатываются непосредственно в системе. В программе согласовывается более 6 тыс. договоров с юридическими лицами и более 12 тыс. договоров с физическими лицами в год.

Пройдя этап первоначального внедрения документооборота, компания активно развивала использование системы. К 2009 году в ней были реализованы или переведены из физического исполнения в электронный такие бизнес-процессы, как: документооборот и закупка рекламы и материалов, административно-хозяйственная деятельность, кадровые процедуры, службы технической поддержки, процедуры НИОКР. Контроль документооборота по ряду бизнес-процессов, позволил значительно снизить издержки, как прямые, так и косвенные. К примеру, общая экономия затрат на рекламу и материалы составила 30%, или 25 млн. рублей в год. "В ряде процессов были выявлены недобросовестное исполнение, ситуации с необоснованными затратами, фиктивными отчетами. Система позволила поднять уровень эффективности в компании на существенно более высокий уровень", – говорит Дмитрий Садеев.

По мнению Евгения Ядрышникова, коммерческого директора компании "Проект-ИТ", информационная безопасность, налоговая безопасность, нормализация учета взаимосвязаны. Год назад его компания внедряла комплексную информатизационную систему на базе "1С" на небольшом предприятии с торговым домом и несколькими торговыми точками. "Мы начали моделирование отдельных бизнес-процессов, занесли некоторые цифры. И вдруг выяснилось, что финансовый контролер совместно с сотрудником службы закупок с помощью нехитрых махинаций направлял в собственный карман значительные суммы, – рассказывает Евгений Ядрышников. – Например, одни и те же транспортные расходы возникали одновременно в двух разных точках. Обычной проверкой в каждом отдельном подразделении (в бухгалтерии и службе снабжения) это не выявлялось". Подобные несоответствия можно выявить, только внедрив единую информационную систему и обеспечив единую точку ввода информации.

Виктория Холина

Toolbar | КПК-версия | Подписка на новости  | RSS