Letyshops

Е-бизнес и бухгалтер

Комитет по ИТ при IFAC

Риски, связанные с ИТ

Е-бизнес трудно вести без использования Интернета и информационных технологий, поэтому и важнейшие риски связаны именно с ИТ. Можно выделить следующие категории риска: инфраструктура ИТ, приложения, бизнес-процессы.

Риски инфраструктуры ИТ связаны с ее способностью адекватно обрабатывать информацию (например, при неисправности оборудования). Для минимизации рисков разрабатывается концепция безопасности (в соответствии с потребностями компании), а также средства технического и организационного контроля.

Типичные виды рисков инфраструктуры:

  • недостаточные физические меры безопасности на случай кражи, несанкционированного доступа или незаконного раскрытия информации;
  • незащищенность от перегрева, повреждения водой, огнем, иных физических воздействий;
  • неадекватные или неправильные аварийные планы и процедуры;
  • отсутствие надлежащих процедур резервного копирования;
  • неадекватная конфигурация и мониторинг брандмауэров против попыток взлома;
  • неумелое шифрование.

Риски приложений возникают из-за:

  • ошибок программирования и сбоев в приложениях ИТ;
  • несогласованных или недокументированных программных изменений;
  • плохого контроля за входом, обработкой и выводом информации в приложениях ИТ;
  • неадекватной увязки средств безопасности ПО с инфраструктурой безопасности (неверные принципы допуска, процедуры резервного копирования и перезапуска).

Риски бизнес-процессов ИТ возникают, если анализ безопасности и обработки информации охватывает бизнес-процессы не целиком, а частично.

Возможные причины рисков:

  • недостаточная прозрачность потока данных;
  • плохая интеграция систем или несовершенство процедур согласования и управления в интерфейсах между подпроцессами, возникающее, когда две подсистемы обмениваются данными в рамках бизнес-процессов. При этом возникает опасность, что средства контроля ИТ (такие как право доступа или процедура резервного копирования) эффективны только для подпроцессов, но не для целых процессов.

Типичные риски бизнес-процессов ИТ в среде е-бизнеса:

  • данные о транзакциях передаются из подсистем е-бизнеса в бухгалтерское приложение недостаточно эффективно, полно и точно;
  • не все подсистемы защищены от несанкционированного или несогласованного доступа, поэтому данные транзакций могут быть изменены на уровне одной из нижних подсистем ИТ;
  • неудачные или неадекватные механизмы контроля доступа затрудняют или делают невозможным эффективное управление средствами доступа для всех подсистем ИТ, встроенных в бизнес-процесс;
  • защиту доступа, относящуюся к отдельному приложению, встроенному в бизнес-процесс, можно обойти, манипулируя верхними или нижними подсистемами ИТ;
  • меры резервного копирования эффективны только для подсистем е-бизнеса и, соответственно, для подпроцессов, а не для полного бизнес-процесса ИТ;
  • конструкция и реализация интерфейсов между подсистемой е-бизнеса и нижними подсистемами ИТ неудовлетворительны.

Юридические риски

Руководство отвечает за то, чтобы работа в сфере е-бизнеса велась в соответствии с требованиями законодательства. Компании должны помнить, что, несмотря на усилия международных регулирующих органов, законы и положения в разных странах различны.

Предприятия, работающие на глобальных рынках, часто оказываются не в курсе современных юридических и регулятивных нюансов. Не зная положений и законов, применяемых в различных обстоятельствах, они могут невольно нарушить их и подвергнуться штрафу, проиграть дело в суде, понести иные убытки.

К важным юридическим вопросам относятся:

  • защита прав интеллектуальной собственности, в том числе на основании законов об изобретениях, копирайте и торговой марке;
  • обязательность контрактов с провайдерами Интернет-услуг;
  • право собственности поставщика на программное обеспечение или продажу лицензий на ПО.

Коммерческие юридические риски возникают также в связи с контрактным правом и покупкой или продажей товаров и услуг через Интернет поверх государственных границ. В частности, бывает сложно определить юрисдикцию международных сделок.

В такой ситуации возможны разные трактовки контрактных обязательств, с точки зрения разных законодательств, поэтому может возникнуть проблема обязательности контракта.

Некоторые виды коммерческой деятельности, которые не регулируются одним законодательством, регулируются другим. Руководство компании обязано проследить, чтобы регулируемые виды деятельности осуществлялись с соблюдением законов страны, на территории которой ведется эта деятельность.

В итоге электронных операций может возникнуть риск несоблюдения налогового законодательства. В частности, бывает неясно, какое государство должно получить налоги за сделку (подоходный, корпоративный, налог с продаж), требования какого законодательства к документальному оформлению заказов и счетов выполнять.

Руководство должно обеспечить защиту личной информации, полученной в ходе ведения е-бизнеса. Следует принять меры, чтобы уменьшить риск нарушения безопасности сети.

 

 

Реклама: