Владимир Дрожжинов, Александр Штрик

Широкой массе россиян о такой профессии, как аудиторы, напоминают ежегодные баталии в стенах Госдумы при обсуждении кандидатуры аудитора отчета ЦБ РФ. По состоянию на 14 ноября, бюджетный и банковский комитеты не смогли выбрать единого кандидата на роль аудитора ЦБ РФ за 2000 г. Банковский комитет поддерживает позицию Центробанка, руководство которого считает целесообразным назначить аудитором компанию “ПрайсУотерхаусКуперс”. Ну а бюджетный комитет рекомендует нижней палате парламента на ту же роль компанию “Делойт и Туш СНГ”. Интересно, что ни та, ни другая компания не являются чисто аудиторскими, они представляют так называемые профессиональные услуги (в сфере финансов, стратегии бизнеса, управления и др.), одна из них - аудит бухгалтерских балансов.

Есть аудиторы и аудиторы+

Доминирование на российском рынке зарубежных, а точнее американских, аудиторских компаний отражает общее состояние бухгалтерской науки и технологии в России. В отличие от успехов в области физики, математики и некоторых других дисциплин мы никогда не были законодателями мод в учетной сфере. Более того, и вряд ли когда-либо будем, если учесть черепашью скорость внедрения международных стандартов бухгалтерского учета, в разработке которых мы даже не участвовали.

А вот аудиторы из Большой шестерки немалые деньги вкладывают в развитие бухгалтерской науки, пытаясь, например, применить в ней методы искусственного интеллекта. Кроме того, они, как и вся западная бухгалтерская общественность, активно ищут новые рынки сбыта своих услуг в век цифровой экономики.

Обычно на Западе аудит бухгалтерского баланса любой организации с любой формой собственности выполняется сертифицированными публичными бухгалтерами (Certified Public Accountants, СРА). Это одно из требований к качеству аудита (в скобках заметим, что в России нет такой профессиональной квалификации и профессионального независимого объединения, присваивающего такую квалификацию). Но поскольку современная бухгалтерия полностью работает на компьютерных платформах, то ее точность и правильность на 100% зависят от точности и правильности работы этих платформ. И вот тут рождается еще одна профессия - аудитор информационных систем (ИС). Аудитор ИС может стать сертифицированным аудитором ИС (Certified Information System Auditor, CISA). Ценность специалиста повышается, если он одновременно владеет сертификатами СРА и CISA.

В США общественными независимыми организациями, присваивающими специалистам после сдачи экзаменов квалификацию СРА или CISA, являются соответственно Американский институт сертифицированных публичных бухгалтеров (AICPA, www.aicpa.org/index.htm) и Ассоциация аудита и контроля информационных систем (ISACA, www.isaca.org/). В Москве в представительствах компаний Большой шестерки и в некоторых российских фирмах суммарно уже накопилась критическая масса сертифицированных профессионалов CISA, что позволит в ближайшее время открыть в России отделение ассоциации ISACA, которая позиционирует себя как международную. Это и понятно: ОС Windows 2000, к примеру, - она и в Африке Windows 2000, даже если локализована на языке зулу.

Больше доверия к информационным системам!

Учитывая исключительную роль информационных систем в функционировании и развитии экономики Северной Америки, американский институт AICPA и Канадский институт присяжных бухгалтеров (CICA, www.cica.org) разработали систему профессиональных услуг по предоставлению гарантий надежности таких систем. Реализация комплекса этих услуг направлена на создание и поддержку развития системы страхования информационных баз данных и систем (чем, кстати, озабочено и Министерство связи и информатизации РФ). Известно, что всякому страхованию предшествует аудит объекта страхования.

Фундаментальным условием предоставления гарантий работоспособности информационных систем является системная надежность последних. Требования к надежности ИС сформулированы в документе под названием “Доверие к системам. Принципы и критерии надежности систем. Версия 2.0” (SysTrust (SM/TM). Principes and Criteria for Systems Reliability. Version 2.0). Среди потенциальных пользователей системы гарантий SysTrust - простые граждане, работники коммерческих организаций, госслужащие и т. д. SM/TM означает, что SysTrust есть сервисная и торговая зарегистрированная марка.

В SysTrust информационная система определена как совокупность пяти ключевых компонентов, необходимым образом организованных для достижения конечного результата. Перечислим их:

- инфраструктура, включающая физическое и аппаратное оборудование систем;

- программное обеспечение, охватывающее системные и прикладные программы;

- персонал (специалисты по обслуживанию информационной системы и ее пользователи);

- системные и пользовательские процедуры, программные и ручные, применяемые при манипулировании системой (например восстановлении и сопровождении) или при работе с системой;

- данные, т. е. вся информация, используемая и поддерживаемая системой, включая потоки транзакций, файлы, базы данных, таблицы и т. д.

Надежность системы определяют ее следующие свойства:

- готовность к использованию (система доступна для взаимодействия и применения);

- безопасность (система имеет средства защиты от несанкционированного физического и логического доступа);

- целостность (функционирование системы характеризуется полнотой, точностью, своевременностью и санкционированностью);

- сопровождаемость (при необходимости система может подвергаться модернизации таким образом, что при последующем использовании она продолжает обладать тремя предыдущими свойствами).

В SysTrust определены состав и совокупность критериев оценки надежности информационных систем, которые должны применяться соответствующими сертификационными центрами.

Следует еще упомянуть готовность организаций и их ИС к разного рода чрезвычайным ситуациям (пожарам, отказам питания и др., включая атаки вирусов и хакеров), способным прервать работу организации и (или) ее ИС и нанести финансовый ущерб. Эта проблема решается путем планирования непрерывности бизнеса (Business Contingency Planning, BCP). Есть общественные независимые организации, сертифицирующие специалистов и в этой области (Институт по восстановлению после бедствия в США, www.dr.org, и Институт непрерывности бизнеса в Англии, www. thebci.org). Они присваивают после успешной сдачи экзаменов специалистам квалификацию сертифицированного планировщика непрерывности бизнеса (CBCP). Авторы этой статьи еще не встречали людей, которые бы имели все три сертификата - СРА, CISA и CBCP. Таким специалистам цены бы не было.

Наличие плана обеспечения непрерывности бизнеса опять же рассматривается в контексте страхования (есть план - плати меньше, ты готов к бедствиям, а если нет плана, то уж тебя раскрутят по полной программе). Страхование перерывов производства - очень доходный вид страхования, он предоставляется, например, компанией AIG Russia.

Больше доверия к э-коммерции!

Интернет дает потребителям неограниченные возможности по получению информации и приобретению товаров и услуг. Тем не менее распространение электронной коммерции сдерживается беспокойством потребителей (подчас обоснованным), что их надуют или используют информацию о них им во вред. В ответ на это, а также с целью реального повышения конфиденциальности на электронных рынках, американский институт AICPA и опять же канадский институт CICA разработали и продвигают программу создания и внедрения критериев оценки эффективности защиты персональной информации, используемой при проведении различных онлайновых транзакций, в первую очередь в электронной коммерции. Данная программа называется “Доверие паутине. Программа приватности” (WebTrust (SM/TM). Privacy Program). Она поддержана информационной системой “Доверие паутине. Печать гарантии” (WebTrust SM/ TM. Seal of assurrance).

Общественные организации, коммерческие и государственные компании, а также отдельные специалисты, которые имеют бизнес-лицензию WebTrust от института AICPA или CICA либо от других авторизованных национальных институтов (или отдельных специалистов), имеют право предоставлять услуги по оценке и тестированию Web-сайтов на соответствие принципам и критериям сохранения тайны WebTrust. Прошедшие сертификацию веб-сайты могут держать на домашней странице соответствующий символ.

Полный перечень национальных институтов, имеющих право предоставлять услуги сертификации, помещен на Web-сайте www.cpawebtrust.org/abtlinks/htm. Заметим, что компании Большой шестерки с энтузиазмом начали оказывать услуги по сертификации веб-сайтов в соответствии с требованиями WebTrust. Вопрос на засыпку: какая из российских фирм первой начнет заниматься таким же бизнесом?

Текущая версия программы WebTrust охватывает следующие аспекты соблюдения секретности персональных данных:

- сохранение тайны;

- обеспечение безопасности;

- бизнес-практика и целостность транзакций;

- доступность;

- конфиденциальность;

- невозможность отказа (non-repudiation);

- кастомизированные раскрытия (customized disclosures).

Понятие “сохранение тайны” имеет много различных аспектов. В рассматриваемой программе используется следующее его определение: “охрана сбора, запоминания и распространения персонально идентифицированной информации”.

Заключение

Пока в России, похоже, невозможно получить сертификаты СРА и СВСР столь востребованных на Западе и нарождающихся у нас профессий. Интересно, что стоимость экзаменов не столь уж и высока (300-500 у. е.) и к ним можно готовиться экстерном. Вся информация есть на сайтах институтов, указанных выше.

С авторами можно связаться по телефону: (095) 104-1538 или по э-почте: sadroz@cityline.ru.