2015-03-22
471
Система контроля и аудита ИКТ-систем, используемых для поддержки процессов государственного управления, может быть разделена на три составные части:
· внутренний контроль государственных ведомств, осуществляющих эксплуатацию систем ИКТ;
· внешний контроль, осуществляемый в рамках разделения полномочий органов государственной власти;
· независимый информационный аудит.
Рассмотрим эти части, их взаимодействие и необходимость присутствия всех трёх компонент, подробнее.
5.1. Внутренний контроль.
Внутренний контроль осуществляется сотрудниками той же организации, которая осуществляет эксплуатацию ИКТ-системы. Организация должна иметь персонал, в должностные обязанности которого входит осуществление внутреннего контроля, регламенты и правила, определяющие порядок контроля, программно-аппаратные средства для осуществления контроля за эксплуатируемыми ею системами.
Основным отличием внутреннего контроля от рассмотренных ниже внешнего контроля и независимого аудита является его проведение в повседневном режиме. Действия внутренних контролёров осуществляются ими в рамках их должностных обязанностей постоянно, на основании внутренних регламентов организации, без получения специального мандата. Разумеется, в отдельных случаях служба внутреннего контроля, в соответствии с указаниями руководства организации, проводит специальные проверки, не предусмотренные регулярными процедурами внутреннего контроля.
Создание службы внутреннего контроля является обязанностью руководителя организации, осуществляющей эксплуатацию ИКТ-системы. При этом, для предотвращения конфликта интересов, руководитель службы внутреннего контроля не может быть подчинён руководителям, непосредственно отвечающим за различные аспекты функционирования ИКТ-системы – службы информационных технологий, службы программно-технических разработок, службы эксплуатации, операционных структур. Наиболее предпочтительным вариантом является подчинение службы внутреннего контроля непосредственно руководителю организации.
Полномочия службы внутреннего контроля достаточно широки. Контролёры имеют право доступа к любой внутренней информации ИКТ-систем, вправе проверять все аспекты взаимодействия с ИКТ-системами сотрудников и клиентов организации. Внутренний контроль может быть наделён правом требовать любые разъяснения от сотрудников организации всех уровней в силу внутренних правил и регламентов. Альтернативным вариантом является получение разъяснений по административным цепочкам, для чего необходимо непосредственное подчинение внутреннего контроля руководителю организации.
В то же время контролёры не вправе вносить никакие изменения в данные или в процедуры их обработки. Результаты работы внутреннего контроля докладываются руководителю службы и доводятся им до руководства организации. Эти результаты могут содержать, помимо информации о выявленных фактах, рекомендации по устранению нарушений, совершенствованию систем и процедур, поощрению сотрудников. Однако непосредственно решения о наказаниях за выявленные нарушения, устранении последствий нарушений, внесении изменений в процедуры, или иных необходимых действиях, находятся вне компетенции службы внутреннего контроля и принимаются в рамках обычных административных процедур организации.
5.2. Внешний контроль.
Внешним контролем называется контроль двух типов:
· контроль со стороны организации, являющейся для контролируемой организации вышестоящей в рамках соответствующей иерархии подчинения (включая иерархические взаимоотношения ветвей государственной власти), либо
· контроль со стороны организации, созданной в рамках административной иерархии специально для осуществления контрольных функций.
Примером вышестоящих внешних контролёров являются Счётные палаты при представительных органах власти.
Примером специализированных внешних контролёров являются органы прокуратуры.
Для системы органов государственной власти и управления контрольные полномочия представительных органов власти являются естественным продолжением их полномочий как законодателей. Контроль органов законодательной власти над органами исполнительной власти осуществляется именно в силу более высокого положения законодателей в системе разделения властей .. Законами устанавливаются обязательные для исполнительной власти требования и ограничения, и контроль их исполнения входит в полномочия законодателя. Система Счётных палат представительных органов власти, осуществляющая контроль исполнения бюджетов всех уровней, имеет необходимые полномочия и в сфере контроля, не связанного непосредственно с бюджетными тратами.
В полномочия органов прокуратуры входит осуществление контроля исполнения законодательства и защита права граждан, в том числе и в случае нарушения прав граждан иными органами государственной власти и управления.
Внешний контролирующий орган всегда аффилирован с контролируемым лицом через общее руководство, общие административные задачи и интересы, и не может считаться контролем независимого лица в связи с неизбежным частичным совпадением интересов контролирующего лица с контролируемым Оба указанных лица входят в систему органов государственно власти, имеют общие цели и интересы, конфликтующие с интересами возможных жертв нарушения прав.
В отличие от внутреннего контроля, внешний контроль осуществляется в рамках специально назначаемых проверок, для которых чётко определены дата начала и предмет контроля. Внешние проверки могут являться плановыми, то есть производиться по заранее определённому графику, или внеплановыми. Внеплановые проверки производятся при наличии оснований подозревать нарушения прав, неисполнение обязанностей, или возможность совершения нарушения.
Полномочия внешнего контроля в процессе проведения проверок определяются нормативными актами, регламентирующими деятельность контрольного органа. Как правило, органы контроля получают полный доступ к ИКТ-системам контролируемого лица и к информации о его деятельности. Однако процедуры получения такого доступа отличаются от процедур, применимых при внутреннем контроле. Взаимодействие внешнего контролёра с контролируемой организацией должно быть организовано через письменные запросы, адресуемые руководству контролируемой организации, или к сотрудникам, уполномоченным руководством взаимодействовать с контролёром. Взаимодействие внешнего контролёра с иными сотрудниками контролируемой организации, как правило, происходит только с ведома уполномоченного сотрудника и в его присутствии.
Как и внутренний контроль, внешний контроль не вправе вмешиваться в работу контролируемого лица с требованием изменения каких-либо данных или совершения каких-либо действий, кроме предоставления данных контролёру. Отчёт внешнего контролёра направляется руководству контролируемого лица, или, в зависимости от ситуации и норм регулирования, вышестоящему лицу в административной иерархии или даже в судебные органы.
5.3. Независимый аудит
Независимый аудит осуществляется аудиторской организацией, не входящей с аудируемым лицом в единую административную иерархию и не являющейся его аффилированным лицом по иным признакам (подробнее о независимости – см. ниже).
Полномочия аудитора в части проведения проверки аудируемого лица вытекают из нормативных правовых актов, определяющих необходимость аудита и регламентирующих определённые аспекты его проведения, а также из соглашения аудиторской организации с заказчиком аудита. Если заказчиком аудита выступает аудируемое лицо, договор с аудиторской организацией должен содержать исчерпывающий перечень полномочий аудитора, или ссылки на нормативные акты, определяющие эти полномочия. В тех случаях, когда заказчик аудита не совпадает с аудируемым лицом, обязанность аудируемого лица предоставить аудитору доступ к необходимой для проведения аудита информации определяется либо согласием аудируемого лица, либо нормами регулирования.
Во многих аспектах проведение независимого аудита схоже с внешним контролем. Аудит также проводится в определённые сроки, для него чётко определены дата начала и предмет контроля. Аудит может являться плановыми, например, ежегодный аудит. Внеплановый аудит производится в случае его заказа лицом, имеющим соответствующие полномочия.
Взаимодействие аудитора с аудируемой организацией происходит, как правило, через письменные запросы, адресуемые руководству организации, или к сотрудникам, уполномоченным руководством взаимодействовать с аудитором. Как и контролёры, аудиторы не вправе вмешиваться в работу аудируемого лица с требованием изменения каких-либо данных или совершения каких-либо действий, кроме предоставления данных аудитору. Аудиторское заключение направляется руководству аудируемого лица и заказчику аудита (если это третье лицо).
5.4. Единство системы контроля и аудита
Внутренний и внешний контроль и независимый аудит образуют целостную систему контроля и аудита деятельности органов государственной власти и управления, в том числе в части использования ими ИКТ-систем. Следует ещё раз подчеркнуть, что контроль любого вида не включает сам по себе инструментов изменения объектов контроля, наказания или поощрения каких-либо лиц. По итогам проведения контрольных мероприятий решения о конкретных действиях принимаются лицами, не входящими в систему контроля. Такие решения возлагаются на лиц, осуществляющих руководство контролируемой деятельностью непосредственно (руководство контролируемого лица), опосредованно (вышестоящие инстанции), либо на органы суда.
В настоящее время нормативная база и практика государственного управления предусматривают только использование механизмов внешнего контроля. Введение внутреннего контроля использования ИКТ органами государственной власти и управления является прерогативой руководства этих органов и не вменено им в обязанность. Независимый информационный аудит в настоящее время не применяется. Государственная стратегия в сфере контроля использования ИКТ-систем в процессах государственного управления должна состоять в развитии всех трёх форм контроля.
Реализация такой государственной стратегии должна быть подкреплена изменениями нормативной правовой базы, мерами организационного характера, предпринимаемыми внутри аппарата государственной власти, а также выделением соответствующих бюджетных средств на формирование служб внутреннего контроля и на проведение независимого информационного аудита.
