Библиотека за управление

Характеристики на одита на електронния бизнес

А. А. Ситнв, доктор на икономиката. Sci., Професор на катедра "Одит и контрол" на Федералната държавна образователна институция за висше професионално образование "Финансов университет под правителството на Руската федерация"
Списание " Одитор ", №7 за 2013 г.

Електронният бизнес е обект на одит

Съвременната фаза на формиране и развитие на системата на световния пазар се характеризира с висока несигурност и непрекъснато нарастващата динамика на постоянните промени във външната (търговската) среда на икономическите субекти. Глобалните промени в структурата на системата на световния пазар през 21-ви век се дължат на променящата се роля на високотехнологичния сектор на икономиката и на прехода към информационно общество. Икономическите субекти в тези условия стават все по-сложни и динамични бизнес системи. В същото време структурата на управлението им става все по-сложна и обработката и предаването на съответната информация става основна част от бизнес процесите.

Изследванията на чуждестранни и руски учени [1, 2, 3, 4, 5, 10, 11 и т.н.] показват, че в съвременните условия тези бизнес системи, които бързо създават и доставят резултата от труда , Работа или услуга), която отговаря на специфичните нужди на всеки уникален потребител, а не на абстрактните изисквания на общия пазар. Способността на производителите да комбинират индивидуалните предпочитания на потребителите с производството на подходящи потребителски резултати и адекватна система за управление е решаващ фактор за ефективното развитие на такива системи.

По този начин основните задачи на управлението на стопанските субекти при тези условия са привличането и задържането на всеки потребител, при условие че се поддържа необходимото съотношение цена / качество и постоянно се поддържа ефективността на бизнес системите. С други думи, такъв модел е необходим за изграждането на организационна структура за управление, която да позволи на бизнес системата като цяло да взаимодейства ефективно с външната си среда и по-специално със своите потребители. Специална роля в това играят модерните информационни технологии, и по-специално интернет.

Понастоящем информационните технологии се превръщат в един от основните инструменти за осигуряване на адаптивност и конкурентоспособност на икономическите субекти. Тъй като изискванията на външната среда се променят, изискванията за софтуерни продукти и ИТ услуги (ИТ услуги) се променят, което води до добавянето на нови и нови софтуерни и хардуерни платформи към тяхната информационна инфраструктура. В същото време, тяхната нарастваща сложност и хетерогенност засягат управляемостта на цялата информационна система на субектите, стабилността и ефективността на нейната работа [7].

В същото време значителен брой съвременни икономически субекти, преодоляващи традиционните подходи към финансовите и икономическите дейности, навлизат в така наречения нов сегмент на системата на световния пазар. Електронен бизнес (Е-бизнес), който включва използването на глобални информационни мрежи за трансформиране и осъществяване на техните вътрешни и външни взаимоотношения, както и техните възможности.

В сравнително кратък период е-бизнесът се трансформира от EDI-системи (Electronic Data Interchange), осигуряващи единствено електронен обмен на данни, до сложни интернет-ориентирани системи, които позволяват да се автоматизира почти цялата гама от взаимоотношения и взаимоотношения на всеки икономически субект с неговата външна среда. С други думи, в сегашната среда се развива ориентиран към услугата Интернет, който изпълнява широк спектър от интегрирани бизнес-бизнес отношения (B2B), бизнес-потребител (B2C), икономически субекти и правителствени Бизнес-администрация, B2A), потребителите и правителството (потребителско-административно управление, C2A).

Електронният бизнес в съвременните условия на икономическо развитие или е допълнение към традиционната дейност на субекта (например продажбата на книги или компактдискове, доставени по договора), или изцяло нова линия на дейност, използваща своя собствена интернет страница за доставка и продажба на потребителски резултати чрез Интернет. В последния случай няма такава концепция като географска сегментация и в резултат на това се намаляват много ограничения, свързани с времевите рамки и разстоянията между взаимодействащите субекти. С други думи, в електронна среда (например в интернет) няма ясна подредена географска мрежа за доставки, която обикновено се характеризира с традиционните дейности на икономическите субекти.

В съвременните условия не всички отрасли са благоприятни за провеждане на е-бизнес. В същото време, ако отрасълът, в който предприятието оперира, е под значително влияние на електронната среда, вследствие на това бизнес рисковете на тези предприятия могат да бъдат много значителни в сравнение с предприятията, които провеждат традиционни финансови и икономически дейности. Следователно, оценката и управлението на бизнес риска са най-важните задачи, пред които са изправени тези организации.

Въпреки това досега създаването на единно интегрирано ядро, заобиколено от специална черупка, състоящо се от взаимосвързани системи за доставка, маркетинг, обслужване и в резултат на изпълнението на проекта, е най-важната и неотложна задача на съвременните икономически субекти да реализират своите възможности в електронната среда. Постоянен контрол над тях. В същото време тези системи трябва да бъдат изградени по такъв начин, че да има възможност за тяхното превантивно изменение в зависимост от условията, които възникват в процеса на функциониране на тези субекти.

Сложността на тези аспекти и постоянното нарастване на вниманието към тях водят до специална специализация и концентрация на управленски проучвания, които изискват независим (безпристрастен) системен и интегриран подход. Същевременно, много от проблемите в управленската практика обикновено се оценяват и анализират от управленските структури по абсолютно изолиран начин, тяхното комбинирано влияние върху функционирането на бизнес и ИТ системите и техните съставни елементи не се взема под внимание, а някои от тях обикновено се игнорират.

В контекста на бързо растящата роля на съвременните информационни технологии, професионалният подход към управлението без непрекъснати всеобхватни проучвания не позволява да се компенсират значителните недостатъци в организацията и управлението на бизнес процесите и ИТ процесите, както и съществуващите и потенциалните бизнес рискове.

Ето защо, световната общност осъзнава, че в съвременните условия е необходима система, която да може правилно да провежда всеобхватни изследвания и да разработва оптимални препоръки за управление за навременни и ефективни управленски решения.

Практически незаменим и перфектен инструмент за извършване на цялостно проучване и оценка на информационната инфраструктура, вземане на управленски решения, прогнозиране развитието на цялата бизнес система и нейната информационна система в частност, както и инструмент за подпомагане на управлението на тези системи е одит. Въпреки това, при прилагането му е необходимо да се вземе предвид факта, че информационната система и нейната информационна инфраструктура, представляваща по същество модел на бизнес системата, в която тя функционира, е много сложно и многофункционално образование, изискващо специален, старателно, систематичен и интегриран подход към одита на техните Състояние и функциониране.

Тъй като интернет е електронна среда за общо ползване, която представлява широка възможност за взаимодействие между различните участници, вследствие на това тази среда носи специални рискове, които не се проявяват в провеждането на традиционни дейности. Широко разпространеното използване на тази среда, без да се изгради подходяща система за вътрешен контрол, фокусирана върху електронната среда, може да окаже значително въздействие не само върху икономическия субект като цяло, но и върху вътрешния потенциал, както и върху външната среда на това предприятие.

Приемайки задачата на всеобхватно одиторско проучване на електронната среда на всеки икономически субект, участващ в електронния бизнес, както и в традиционния одит на финансовите отчети, е необходимо първо да се придобият подходящи знания за външната (търговска) среда, бизнес процесите, информационната инфраструктура, съществуващи и потенциални Бизнес и ИТ рисковете на тези организации. Трябва да се има предвид, че нивото на знания, необходими за разбирането на въздействието на електронната среда върху функционирането на всяка бизнес система, зависи от сложността на дейността, извършвана от тази система.

Ако е-бизнесът е основа за функционирането на бизнес системата, тогава при одита одиторът трябва да разбере и оцени:

  • Степента на влияние на информационните технологии върху стратегията на одитирания обект;
  • Технологии, използвани за провеждане на електронен бизнес;
  • Умения и знания за персонала на субекта в областта на информационните технологии;
  • Бизнес и ИТ рискове, свързани с прилагането на електронния бизнес, както и подходите на субекта за управление на тези рискове;
  • Адекватност на инфраструктурата за сигурност и свързаните с нея средства за контрол на обекта на условията, наложени от електронната среда.

На свой ред, за да придобият познания за системата за вътрешен контрол, ориентиран към електронния бизнес на икономическа единица, вниманието на одитора трябва да се съсредоточи върху оценката:

  • Степен на участие на лица с управленски правомощия при решаване на въпросите за съвместяване на електронния бизнес с основната стратегия на одитирания обект;
  • Електронният бизнес като нова дейност на субекта;
  • Източници на доходи на одитираното предприятие и промените в него (например, как работи бизнес системата - като основен производител или агент за продажба на потребителски резултати на други предприятия);
  • Водещата връзка в системата за управление на икономическата тема на влиянието на електронния бизнес върху приходите и финансовите ресурси на това предприятие;
  • Разбиране на управлението на системата за управление на одитирания обект за бизнес и ИТ рискове;
  • Обхват на потенциалните възможности и рискове на електронния бизнес, идентифицирани от ръководството на одитираното предприятие в документираната стратегия;
  • Висши ръководни задължения и лица с управленски правомощия, за да спазват Корпоративния кодекс и програмата за защита на уебсайта.

Същевременно одиторът следва да вземе предвид, че мащабът на електронния бизнес на различни икономически субекти не е същият. Например, електронният бизнес може да бъде насочен:

  • Само за предоставяне на информация за предмета и нейните дейности, които могат да бъдат използвани от трети страни (потребители на традиционни потребителски резултати, инвеститори, източници на ресурси и т.н.);
  • Да се ​​осигури осъществяването на бизнес операции с редовни потребители чрез електронна среда, по-специално интернет;
  • Да осигуряват достъп до нови пазари и нови потребители, като предоставят конкретна информация или обработват конкретни бизнес транзакции в електронна среда (например чрез интернет);
  • Да осигурява достъп до доставчиците на сървъри на приложения (доставчик на приложения - ASP);
  • Създаване на изцяло нов бизнес модел.

Ако предприятието има свой собствен уебсайт, дори ако потребителите нямат интерактивен достъп до посочения ресурс, може да има проблеми както с информационната сигурност, така и с ефективността на нейната работа.

Характеристики на одита на информационната сигурност на електронния бизнес

Информационната сигурност в този контекст следва да се разбира като защита на информацията и информационната система, която я подпомага от случайни и умишлени природни или изкуствени въздействия, които увреждат собствениците или ползвателите на тази информация и информационната система, поддържаща нея.

В този случай одиторът трябва да извърши изчерпателно проучване на уебсайта, което ще позволи да се идентифицират и оценят съществуващите и вероятните недостатъци, които се намесват и могат да предотвратят правилното му развитие в бъдеще. За тази цел одиторът трябва да идентифицира и оцени:

  • Съответствието на уебсайта с целите на електронния бизнес на икономическата единица;
  • Дизайнът на уебсайта, структурата и функциите му за навигация;
  • Съдържанието на сайта (английското "съдържание" - съдържанието на превода е прието и на руски език) от позицията за съответствие с целите на електронния бизнес на икономическата единица и формата на обратна връзка от потребителите;
  • Проблеми при маркетинга на уебсайт и стратегията за нейното популяризиране в електронната среда;
  • Пътеките на посетителите към уебсайта и използваните критерии за търсене;
  • Искания и поръчки, направени за разглеждания период;
  • Уязвимост от вътрешни и външни заплахи.

Същевременно одиторът следва да вземе предвид, че в електронния бизнес бизнес операциите, генерирани от уебсайта, трябва да бъдат правилно обработени от вътрешните системи на стопанската единица, като счетоводната система, системата за управление на клиентите, системата за управление на инвентара и системата за вътрешен контрол , Значителен брой сайтове в съвременните условия практически не са интегрирани с вътрешните системи на икономическите субекти. Поради това техниките, използвани за прехвлачване и предаване на информация за бизнес сделки, например счетоводната система, могат да бъдат засегнати от:

  • Пълнотата и точността на обработката на тази информация;
  • Относно безопасността на информацията;
  • Определяне на условията за признаване на приходите от продажбата на потребителски резултати, покупки и други сделки;
  • Относно определянето, оценката и осчетоводяването на оспорваните търговски сделки;
  • Относно сигурността на информацията.

Както беше отбелязано по-рано, управлението на всеки икономически субект постоянно се сблъсква с редица бизнес ИТ рискове, свързани с провеждането на електронния бизнес. Такива рискове включват:

  • Вероятността от загуба на целостта на информацията за бизнес процесите и бизнес операциите, чието въздействие е свързано с липсата на възможност за проследяване както на хартиен, така и на електронен носител;
  • Висока степен на вероятност за рискове от информационна сигурност, свързани с електронния бизнес, включително вирусна атака и податливост към измама от страна на потребителите и други лица чрез неразрешен достъп до информация на това лице;
  • Недостатъчна счетоводна политика по отношение например на капитализирането на разходите за разработване и популяризиране на уебсайт, неправилното тълкуване на сложни договорни отношения, рисковете от прехвърляне на собствеността върху потребителския резултат, прехвърлянето на чуждестранна валута, провизии за гаранционно обслужване и връщане на продукти и стоки, както и проблеми с признаването на приходите;
  • Несъответствие с изискванията на регулаторната правна уредба на финансовите и стопански дейности, и по-специално на електронния бизнес;
  • Невъзможност да се гарантират задължителните изисквания на договорите;
  • Прекомерна зависимост от методите на електронния бизнес;
  • Неуспех или неизправност на системите и елементите на информационните инфраструктури.

По-нататъшният и бърз растеж на броя на икономическите субекти, въвеждащи съвременни информационни технологии или изцяло ориентирани към електронния бизнес, се дължи преди всичко на факта, че при извършване на финансови и икономически дейности в съвременна електронна транзакция транзакциите са значително намалени, т.е. Разходи, свързани с прехвърлянето на собствеността върху резултата на потребителя.

Обикновено ръководството и лицата, които имат правомощията на икономически субект, участващ в електронния бизнес, оценяват рисковете за бизнеса и информационните технологии чрез въвеждането на система за информационна сигурност, създаването на подходяща инфраструктура и използването на подходящи средства за контрол, насочени към:

  • Да се ​​идентифицира и провери автентичността на потребителите и доставчиците;
  • Да се ​​осигури целостта на информацията за търговските сделки;
  • Да получават плащане или обезпечение по отношение на потребителски кредит;
  • При инсталирането на протоколи за защита на личните данни и информационна сигурност.

Одиторът трябва да разбере, че правилно функциониращата система за сигурност на информацията и системата за вътрешен контрол, съсредоточена специално върху електронния бизнес, може да намали въздействието на значителен брой бизнес рискове и ИТ рискове. Въпреки това при започване на одит на тази система, тя трябва първо да вземе предвид, че проблемите, свързани с поддържането на целостта на самите контролни процедури в постоянно променяща се електронна среда, както и осигуряването на достъп до съответната информация (например счетоводна записям) для удовлетворения потребности как самого субъекта, так и аудитора.

Независимо от размера экономического субъекта и специфики его информационной системы работы по обеспечению информационной безопасности обычно включают следующие этапы:

  • формирование политики информационной безопасности;
  • определение границ (масштабов) системы управления информационной безопасностью и постановка конкретных целевых установок ее создания;
  • оценка и управление рисками;
  • выбор контрмер, обеспечивающих надлежащий режим информационной безопасности;
  • аудит системы управления информационной безопасностью.

В свою очередь, каждый из перечисленных этапов имеет свой алгоритм реализации. Так, например, при формировании политики информационной безопасности аудитору необходимо:

  • определить используемые нормативноправовые документы, руководства и стандарты в области информационной безопасности, а также основные положения политики;
  • определить подходы к управлению бизнес- и ИТ-рисками;
  • структурировать контрмеры по уровням и пр.

При определении границ (масштаба) системы управления информационной безопасностью и постановке целевых установок ее создания руководящее звено системы управления экономическим субъектом должно сформировать документ, отражающий границы системы информационной безопасности, ресурсы, подлежащие защите, и систему критериев оценки их ценности.

На этапе оценки и управления бизнеси ИТ-рисками необходимо, прежде всего, поставить конкретные задачи их оценки и обосновать требования к самой методике этой оценки. При этом выбор той или иной методики зависит от уровня требований, предъявляемых в экономическом субъекте к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности контрмер. Кроме того, необходимо разработать основополагающую стратегию управления рисками разных классов. При этом в современных условиях обычно используют несколько подходов:

  • уменьшение риска посредством простейших контрмер (смена паролей, снижающая несанкционированный доступ к информации);
  • уклонение от риска, например, посредством вынесения веб-сервера экономического субъекта за пределы локальной сети;
  • изменение характера риска, например, путем страхования оборудования от стихийных бедствий и пр.;
  • принятие риска, который остается после принятия контрмер.

В соответствии с выбранной стратегией управления рисками необходимо определить комплекс контрмер, структурированных по уровням (организационному, аппаратно-программному и пр.), а также отдельным аспектам информационной безопасности. Аудит системы управления информационной безопасностью осуществляется с целью проверки соответствия выбранных контрмер декларированным в политике безопасности целям.

Основными целевыми установками указанного направления аудиторского исследования являются:

  • исследование и анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ИТ-ресурсов;
  • оценка текущего уровня защищенности информационной системы аудируемого субъекта;
  • локализация узких мест в системе защиты;
  • оценка соответствия информационной системы требованиям стандартов в области информационной безопасности;
  • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов информационной безопасности.

Однако применение аудита только при исследовании контрмер сужает его возможности. Следует отметить, что надлежащий эффект может дать только комплексный и системный подход к аудиту электронного бизнеса в целом, его бизнес- и информационной системы. При этом аудит информационной безопасности может являться лишь элементом комплексного аудита электронного бизнеса любого экономического субъекта.

Отличительной особенностью выполнения аудита информационной безопасности является несколько иная точка зрения на сбор и обработку сведений об электронной среде аудируемого субъекта. Так, например, при определении границ (масштабов) предстоящего аудита аудитору необходимо учесть:

  • перечень обследуемых физических, программных и информационных ресурсов;
  • помещения, попадающие в границы обследования;
  • организационные (нормативно-правовые, процедурные и административные), физические, аппаратно-программные и прочие аспекты обеспечения информационной безопасности и их приоритеты.

Осуществляя сбор сведений об экономическом субъекте, аудитору следует помнить, что компетентные выводы относительно положения дел в субъекте с информационной безопасностью, а тем более адекватные рекомендации по ее оптимизации могут быть осуществлены только при условии наличия всего массива надлежащих исходных данных, необходимых для анализа и оценки.

Так как обеспечение информационной безопасности – комплексный и системный процесс, требующий четкой организации и дисциплины, он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся безопасностью. Поэтому аудитору, прежде всего, необходимо получить знания об организационных структурах пользователей информационных технологий и обслуживающих их ИТ-подразделений.

Осуществляя в ходе сбора исходной информации интервьюирование ответственных и наделенных руководящими полномочиями лиц аудируемого субъекта, аудитор должен получить следующие сведения:

  • о владельцах информации;
  • о пользователях (потребителях) информации;
  • о провайдерах услуг;
  • о характере и путях предоставления услуг (сервисов) конечным потребителям;
  • об основных видах функционирующих приложений;
  • о количестве и видах пользователей, использующих те или иные приложения;
  • о существующих компонентах (элементах) информационной системы;
  • о функциональности отдельных компонентов информационной системы;
  • о масштабе и границах информационной системы;
  • о входах в информационную систему;
  • о взаимодействии с другими системами (в частности, с системой внутреннего контроля);
  • о каналах связи при взаимодействии с другими системами аудируемого субъекта;
  • о каналах связи между компонентами информационной системы;
  • о протоколах взаимодействия;
  • об аппаратно-программных платформах, используемых в информационной системе.

Кроме перечисленных сведений, аудитору необходимо получить от аудируемого субъекта:

  • структурные и функциональные схемы;
  • схемы информационных потоков;
  • описание комплекса аппаратных средств информационной инфраструктуры;
  • описание автоматизированных функций (в т.ч. контрольных);
  • описание основных технических решений;
  • проектную и рабочую документацию на информационную систему;
  • описание структуры программного обеспечения.

Получение знаний по указанным аспектам не должно заканчиваться и при проведении аудита по существу проблем информационной безопасности.

После подготовки информационной базы для исследования аудиторы переходят к анализу собранных сведений. С этой целью международная практика и многолетний опыт рекомендуют три подхода, которые некоторым образом отличаются друг от друга.

Первый подход основан на использовании существующих стандартов информационной безопасности, которые определяют некий базовый набор требований для широкого класса информационных технологий и разрабатываются на основе передового мирового опыта в указанной области знаний. Аудитор,опираясь на положения стандартов и полученные сведения о субъекте, должен надлежащим образом определить адекватный набор требований, соответствие которым необходимо обеспечить для конкретной информационной системы. Указанный подход позволяет при минимальных затратах вырабатывать адекватные управленческие рекомендации по совершенствованию информационной безопасности в каждом конкретном случае. Основным недостатком этого подхода является отсутствие параметров, характеризующих режим информационной безопасности. При таком подходе можно упустить из поля зрения специфические для конкретной информационной системы классы потенциальных и даже существующих угроз.

Второй подход основан на использовании в аудиторском исследовании существующих методов анализа бизнес- и ИТ-рисков, учитывающих индивидуальность каждого аудируемого субъекта, его информационной системы, среды ее функционирования и существующие, а также потенциальные угрозы безопасности. Данный подход является наиболее трудоемким и требует от аудитора привлечения к исследованию наиболее компетентных в этой области специалистов-экспертов.

Третий под ход – комбинированный, предполагающий использование базового набора требований безопасности, определяемого стандартами, расширяемого дополнительными требованиями, учитываемыми при использовании метода анализа рисков.

Указанный подход, хотя и намного проще второго (т.к. основой его являются требования безопасности, определенные стандартами), но в то же время лишен недостатка первого подхода, связанного с тем, что требования стандартов практически не учитывают индивидуальности систем конкретного экономического субъекта.

При существовании повышенных требований к информационной безопасности наиболее приемлемым является третий подход к аудиторскому исследованию. В данном случае аудитору наряду с базовыми требованиями стандартов необходимо надлежащим образом исследовать:

  • бизнес- и ИТ-процессы с позиций информационной безопасности;
  • ресурсы аудируемого субъекта и их ценность;
  • существующие и потенциальные угрозы информационной безопасности;
  • уязвимость (слабые места) существующей у субъекта защиты информации.

При этом все ресурсы необходимо исследовать с позиции оценки угроз, т.е. воздействия вероятных или спланированных действий внутренних или внешних злоумышленников, а также различных нежелательных событий естественного происхождения.

В свою очередь, ценность (важность) ресурса, как правило, определяется величиной ущерба, наносимого в случае нарушения информационной безопасности. На практике обычно рассматривают следующие виды ущерба:

  • данные были изменены, удалены или стали недоступны;
  • аппаратно-программные средства были разрушены или повреждены;
  • нарушена целостность программного обеспечения и пр.

Осуществляя аудиторское исследование информационной безопасности, аудитору необходимо выяснить, может ли быть нанесен ущерб аудируемому субъекту в результате успешного прохождения следующих видов угроз:

  • удаленные или локальные атаки на ИТ-ресурсы;
  • стихийные бедствия;
  • ошибки, искажения или преднамеренные действия ИТ-персонала;
  • сбои в работе информационных технологий, связанные с программным обеспечением или неисправностями аппаратных средств.

Сама оценка рисков может быть осуществлена с использованием как качественных, так и количественных шкал. Аудитору необходимо правильно их идентифицировать и проранжировать в соответствии со степенью их критичности для конкретного аудируемого субъекта. На основе проведенного исследования и оценки рисков вырабатываются адекватные им мероприятия (контрмеры) по их снижению до приемлемого уровня. В каждом конкретном случае рекомендации должны быть конкретными и применимыми к исследуемой информационной системе. Кроме того, указанные рекомендации необходимо обосновать экономически.

Следует помнить, что контрмеры по защите организационного уровня должны иметь приоритет над аппартно-программными методами защиты. В то же время обязательной составляющей цикла аудита информационной безопасности является периодическая проверка соответствия реализованного по результатам аудирования режима безопасности политике безопасности и установленным критериям.

В заключение следует отметить, что проведенные исследования позволяют лишь обозначить возможность расширения услуг, оказываемых современными высокопрофессиональными аудиторами. При этом автор не претендует на полное раскрытие возможностей аудита электронного бизнеса, проблемы которого практически не охвачены современным аудиторским сообществом и требуют более полных и всесторонних исследований.

Позоваването

1. Андерсен, Бьерн. Бизнес-процессы. Инструменты совершенствования / Бьерн Андерсен. – 2-е изд. – М.: РИА «Стандарты и качество», 2004. – 272 с.

2. Берн, Р. Дж. Эффективное использование результатов маркетинговых исследований: Как принимать и осуществлять на практике наиболее оптимальные решения / Р. Дж. Берн; на. С англичаните. – Днепропетровск: Баланс Бизнес Букс, 2005. – 272 с.

3. Булыга, Р.П. Аудит бизнеса. Практика и проблемы развития: монография / Р.П. Булыга, М.В. Мельник; изд. Р.П. Булыги. – М.: ЮНИТИ-ДАНА, 2013. – 263 с.

4. Джордж, С. Всеобщее управление качеством: стратегии и технологии, применяемые сегодня в самых успешных компаниях (TQM) / С. Джордж, А. Ваймарскирх. – СПб.: Виктория-плюс, 2002. – 256 с.

5. Друкер, П. Эффективное управление / П. Друкер; на. С англичаните. М. Котельниковой. – М.: ООО «Издательство Астрель»: ООО «Издательство АСТ»: ЗАО НПП «Ермак», 2004. – 284 с.

6. Котлер, Ф. Основы маркетинга / Ф. Котлер, Г. Армстронг, Д. Сондерс, В. Вонг; на. С англичаните. – М.: Издат. дом «Вильямс», 2001. – 1056 с.

7. Cobit 4.1. Методология. Цели контроля. Руководство по управлению. Модели зрелости процессов: российское издание / пер. С англичаните. И. А. Вдовина. – М.: Аудит и контроль информационных систем, 2008.

8. Ситнов, А.А. Особенности аудита информационных инфраструктур // Аудитор. – 2011. – № 11 (201). – С. 26–38.

9. Ситнов, А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. – 2012. – № 6. – С. 44–56.

10. Ситнов, А.А. Аудит состояния информационной инфраструктуры // Аудитор. – 2012. – № 12 (214). – С. 16–21.

11. Ситнов, А.А. Инструментальные средства управления и адаптации экономических систем на основе операционного бизнеса: монография / А.А. Ситнов, А.И. Уринцов. – М.: Издат. центр ЕАОИ, 2013. – 512 с.