Меню
Главная
Авторизация/Регистрация
 
Главная arrow Экономика arrow Риски в бухгалтерском учете
Посмотреть оригинал

ПУТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БУХГАЛТЕРСКОМ УЧЕТЕ

Вопросы информационной безопасности за рубежом стали особенно актуальны с середины 70-х гг. прошлого столетия, что было обусловлено революционным развитием информационных технологий и возрастанием их роли, как в экономике, так и в обществе в целом.

Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием в 2000 г. «Доктрины информационной безопасности Российской Федерации». В ней среди наиболее важных объектов, подвергаемых воздействию угроз информационной безопасности Российской Федерации в сфере экономики, указаны:

  • — системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
  • — системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

Это свидетельствует о том, что на государственном уровне признана центральная роль как самой бухгалтерской и финансовой информации, так и информационных систем по их распространению среди заинтересованных пользователей, в обеспечении информационной безопасности не только отдельного предприятия, но и всего государства в целом.

Обеспечение информационной безопасности предприятия предполагает создание таких условий, при которых использование, потеря или искажение любой информации о состоянии предприятия, в том числе бухгалтерской и финансовой, работниками предприятия или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности предприятия.

В этом свете построение современной и эффективной бухгалтерской информационной системы, гарантирующей экономическую и информационную безопасность предприятия, стало одним из основных факторов жизнеспособности бизнеса. Для ее создания необходимо привлекать широкий круг сотрудников предприятия: руководство предприятия, работников бухгалтерии, специалистов в области информационных технологий (ИТ-специалистов), руководителей технических служб и др.

В последние годы во всем мире признано наличие достаточно широкого спектра серьезных угроз информационной безопасности, реализация которых может привести не только к утрате предприятием конкурентных преимуществ на рынке, но и к свертыванию бизнеса или к краху. Осознание роли этих угроз привело к тому, что практически на всех предприятиях стали уделять повышенное внимание созданию систем информационной безопасности. Создание системы информационной безопасности нужно начинать с анализа целей и требований бизнеса. При этом следует принять во внимание, что существует несколько подходов к рассмотрению вопросов обеспечения информационной безопасности. Рассмотрим некоторые из них.

С одной точки зрения, информационная безопасность представляет чисто техническую проблему, решением которой должны заниматься ИТ-специалисты. С помощью технических средств можно решить ряд задач информационной безопасности, например обеспечить защиту информации от кражи, от изменения или уничтожения. С другой точки зрения, проблема информационной безопасности является не только технической, но и управленческой, поскольку внедрение только технических решений не гарантирует полноту защиты информации в компании. Без соблюдения всеми сотрудниками правил работы с информацией невозможно достигнуть приемлемого уровня экономической безопасности.

Не меньшую актуальность имеют проблемы защиты от некачественной информации, поступающей на предприятие извне. Например, в результате информационной атаки, спланированной и проведенной по разработанному сценарию конкурентами, руководство предприятия получает недостоверную информацию о реальном состоянии дел. Использование в дальнейшем такой информации для целей управления с большой степенью вероятности может привести к принятию ошибочных решений, претворение в жизнь которых будет сопровождаться принесением существенного ущерба экономике организации.

Эффективная система информационной безопасности должна быть встроена в систему управления компании и гарантировать:

  • — конфиденциальность информации, критически важной для организации или для принятия решения;
  • — целостность информации и связанных с ней процессов (создание, ввод, обработка и вывод);
  • — оперативную доступность к различной информации в любой момент времени;
  • — возможность накопления и сохранности информации, т.е. сохранения предшествующих вариантов;
  • — минимизацию информационных рисков путем выполнения компенсационных мероприятий и др.

Не вызывает сомнения тот факт, что защита информации является важнейшим направлением в обеспечении экономической безопасности предприятия. Например, известно, что утечка только 20% информации в ближайшие месяцы ведет к разорению до 65% фирм и компаний [Лапуста М.Г., Шаршукова Л.Г. Риски в предпринимательской деятельности].

Однако, несмотря на значимость этого фактора, нельзя недооценивать одну из основных тенденций в современной экономике — бурный рост влияния информационных технологий на эффективность ведения бизнеса. Известно, что использование менеджментом предприятия некачественной (недостоверной) информации приводит к принятию неверных управленческих решений, которые не только не позволяют обеспечить достижение положительных результатов, но и зачастую приводят к кризисным ситуациям, вплоть до банкротства.

Последние годы показали, что особую актуальность приобрели проблемы защиты в Интернете достоверности бухгалтерской отчетности компаний. Сегодня, по данным зарубежных исследований, наибольшую угрозу достоверности бухгалтерской отчетности компаний представляют следующие действия:

  • — внесение злоумышленниками изменений непосредственно в отчетность, размещенную на сайте компании;
  • — умышленное искажение данных отчетности и последующее ее распространение в Интернете;
  • — создание фальшивых сайтов компаний и размещение на них сфальсифицированной бухгалтерской информации;
  • — составление недостоверных аналитических обзоров и их распространение в Интернете и др.

Проиллюстрируем, какие последствия может иметь для компании распространение в Интернете фальсифицированной бухгалтерской информации. Так, в 2000 г. крупная американская компания Emulex, занимающаяся производством оборудования для сетей хранения данных, стала жертвой фальшивого пресс-релиза, распространенного через службу новостей злоумышленником. Этот пресс-релиз информационное агентство идентифицировало как достоверный, и он был преподнесен рынку в качестве достоверной деловой информации. Результат от этого действия был ошеломляющим. В день опубликования фальшивого пресс-релиза до полудня стоимость акций компании снизилась на 60%, что уменьшило рыночную капитализацию компании на 2,5 млрд. дол. США. Не в меньшей степени пострадали инвесторы, которые, по данным SEC, понесли убытки в размере свыше 110 млн дол. США.

Другим примером является мошенничество с информацией компании Euroclear/Bloomberg. Злоумышленники создали более двух десятков ложных интернет-сайтов компании, на которых разместили сфальсифицированные бухгалтерские документы. В результате обмана инвесторов потери компании в считанные дни составили 3,9 млрд дол. США. [Дипиаза С. (младший), Экклз Р. Будущее корпоративной отчетности. Как вернуть доверие общества; Экклз Роберт Дж., Герц Роберт X., Киган Э. Мэри, Филлипс Дейвид MX. Революция в корпоративной отчетности: как разговаривать с рынком капитала на языке стоимости, а не прибыли].

Предприятие при выборе делового партнера в целях обеспечения своей экономической безопасности собирает о нем всю доступную информацию. Среди этой информации центральную роль играет финансовая отчетность партнера. Если такая отчетность будет недостоверной, то предприятие может принять ошибочное решение, последствия которого могут представлять угрозы для его экономической безопасности.

В последние годы в России появилась новая разновидность угроз информационной безопасности, связанная с торговлей ворованными компьютерными базами данных. В феврале 2005 г. появилась в свободной продаже электронная база данных о банковских проводках расчетно-кассовых центров Банка России, осуществленных в период с апреля 2003 г. по сентябрь 2004 г., объем которой составлял 60 гигабайт. Эта база данных содержала полную информацию по бухгалтерским записям: реквизиты плательщика и получателя, их банков, назначение и сумму платежа. Например, в феврале 2004 г. Внешторгбанк совершил самый крупный платеж в сумме 2,96 млрд руб. по перечислению средств от размещения облигаций «АвтоВАЗа». Эти деньги поступили на счет общества в банке «Автомобильный банкирский дом». Очевидно, что такая информация для предприятия, как правило, составляет предмет коммерческой тайны. Ее свободное распространение может нанести существенный ущерб предприятию. Следует отметить, что такого рода происшествия могут иметь далеко идущие последствия и для банковской системы.

Поскольку в бухгалтерских информационных системах компаний широко используются современные компьютеризированные информационные технологии, включающие широкое использование внутрифирменных сетей и средств Интернета, то интерес представляют сведения о преступлениях в компьютерной среде. Согласно докладу «2003 CSI/FBI Computer Crime and Security Survey», наиболее часто coвершают компьютерные преступления и реализуют различные атаки на корпоративные информационные системы сотрудники корпораций и хакеры. Детальные сведения об источниках атак приведены в табл. 4.22 [2003 CSI/FBI Computer Crime and Security Survey// http:// www.reddshell.com/docs/csi_fbi_2003.pdf].

Таблица 4.22

Вероятные источники компьютерных атак в США

Источники атак

Частота обнаружения, %

1999 г.

2000 г.

2001 г.

2002 г.

2003 г.

Недобросовестные сотрудники

86

81

76

75

77

Хакеры

74

77

81

82

82

Конкуренты (на территории США)

53

44

49

38

40

Зарубежные компании

30

26

31

26

25

Зарубежные правительства

21

21

25

26

28

10 июня 2004 г. в Сан-Франциско институтом компьютерный безопасности (Computer Security Institute) были объявлены результаты проведенного им девятого ежегодного обзора «Компьютерные преступления и обзор безопасности» [2004 CSI/FBI Computer Crime and Security Survey// http:// www.infragardphl.org/inf/resources/FBI2004.pdf].

Объектами исследования были 494 хозяйствующих субъекта США. Из них только 269 субъектов, что составляет 46% от опрошенных, смогли оценить сумму потерь в стоимостном выражении. Ответы специалистов подтверждают, что угрозы информационной безопасности остаются реальными и существенными, несмотря на то что произошло существенное снижение общей суммы финансовых потерь респондентов с 201 797 340 дол. в 2003 г. до 141 496 560 дол. в 2004 г. Это снижение составило почти 30%. Подробные сведения приведены в табл. 4.23 [2004 CSI/FBI Computer Crime and Security Survey. Press Release./ / http://www.cnme—research.org/news/ll.06.2004/423].

В 2004 г. проблема вирусов вышла на первое место как тип инцидента, принесший самые большие потери, составляющие 38,9% от общей суммы потерь. Угроза кражи конфиденциальной информации, которая лидировала на протяжении последних пяти лет, переместилась на третье место и ее доля составила 8,1%. Для сравнения: в 2003 г. ее доля составляла 34,8%.

Таблица 4.23

Объем потерь предприятий США в 2004 г. по видам угроз

Угрозы информационной безопасности

Сумма потерь, дол.

Структура потерь, %

1. Саботаж (Sabotage)

871 000

0,62

2. Взлом компьютерной системы (System penetration)

901 500

0,64

3. Искажение информации на web-сайтах (Web site defacement)

958 100

0,68

4. Злоупотребление при общественном использовании сетей (Misuse of public Web application)

2 747 000

1,94

5. Мошенничество в телекоммуникациях (Telecom fraud)

3 997 500

2,83

6. Неавторизованный доступ (Unauthorized access)

4 278 205

3,02

7. Кража компьютеров (Laptop theft)

6 734 500

4,76

8. Финансовое мошенничество (Financial fraud)

7 670 500

5,42

9. Злоупотребление беспроводной сетью (Abuse of wireless network)

10 159 250

7,18

10. Злоупотребления в сети лицами, обладающими доступом к конфиденциальной информации (Insider Net abuse)

10 601 055

7,49

11. Кража конфиденциальной информации (Theft of proprietary info)

И 460 000

8,10

12. Dos-атаки (Denial of service)

26 064 050

18,42

13. Вирусы (Virus)

55 053 900

38,90

14. Общая сумма потерь (Total Losses for 2004)

141 496 560

100

Обращает на себя внимание тот факт, что в 2004 г. выявлено три вида новых существенных угроз:

  • 1) злоупотребление беспроводной сетью, удельный вес которого составляет 7,18%;
  • 2) злоупотребление при общественном использовании сетей, удельный вес которого составляет 1,94%;
  • 3) искажение информации на web-сайтах, удельный вес которого составляет 0,68%.

Практически все респонденты отметили, что подвергались умышленному искажению информации, размещенной на web-сайтах организаций. Нападениям свыше шести раз подверглись 11% респондентов. Более подробно сведения о случаях искажения информации приведены в табл. 4.24.

Искажение информации на web-сайтах

Количество случаев искажения информации на web-сайтах респондентов

Доля респондентов, %

1.

Свыше 10 раз

5

2.

От 6 до 10 раз

6

3.

От 1 до 5 раз

89

Проведенные исследования показали, что в современной экономике изменился состав угроз информационной безопасности. Если классические угрозы экономической безопасности обусловлены прежде всего проблемами, связанными с ведением бизнеса, то сейчас появился новый класс угроз, связанный с использованием достижений информатизации общества. Это автоматизация различных видов деятельности внутри предприятия на основе использования компьютерной техники, широкое использование компьютерных сетей, в том числе Интернета, для внутрифирменного управления и для связи с партнерами, ведение электронного бизнеса и др. В этом контексте существенным образом изменилась роль бухгалтерского учета. Он приобрел новую специфическую функцию — обеспечение экономической безопасности предприятия. Для реализации этой функции необходимо переосмыслить роль бухгалтерской информационной системы с точки зрения встраивания бухгалтерского учета в систему обеспечения экономической безопасности предприятия.

Поскольку большую долю в используемой информации о состоянии предприятия составляет бухгалтерская информация, понятно, почему во всем мире провозглашены особые требования именно к ее качеству.

Система угроз информационной безопасности предприятия, связанных с бухгалтерским учетом и отчетностью, представлена на рис. 4.10.

  • 1. Угрозы целостности бухгалтерской информации и отчетности в результате неавторизованного доступа к корпоративной и персональной информации. Результатом является:
    • — модификация (намеренное повреждение или искажение в злоумышленных целях) информации, в том числе искажение информации на web-сайтах;
    • — уничтожение информации (в том числе в результате атак компьютерных вирусов);
    • — кража (копирование) информации, отрицание подлинности информации, навязывание ложной информации;
    • — кража носителей информации, в том числе компьютеров и др.
  • 236
Система угроз информационной безопасности предприятия

Рис. 4.10. Система угроз информационной безопасности предприятия

  • 2. Угрозы нарушения конфиденциальности бухгалтерской информации и отчетности, под которыми понимают действия, приводящие к неправомерному овладению охраняемой информацией. К ним относят:
    • — разглашение конфиденциальной информации в результате умышленных или неосторожных действий лиц, которые имеют доступ к закрытой информации;
    • — неправомерное овладение лицами конфиденциальной информацией без нарушения её целостности в результате их несанкционированного доступа к закрытым сведениям, например, путем копирования, проникновением в базы данных и др.
  • 3. Угрозы нарушения доступности (блокирование) бухгалтерской информации и отчетности, приводящие к искусственному затруднению доступа пользователей к информации, не связанному с ее уничтожением.
  • 4. Угрозы достоверности бухгалтерской информации и отчетности в результате фальсификации информации, мошеннических действий ответственных лиц и др.
  • 5. Угрозы содержанию бухгалтерской информации и отчетности, вызванные действием персонала (инсайдерские проблемы) и других лиц. Они могут возникнуть в результате неумышленных (случайных) и умышленных действий как персонала предприятия, так и внешних лиц (конкурентов, преступников и др.).
  • 6. Угрозы, вызванные использованием менеджментом некачественной бухгалтерской информации и отчетности.

В последнее время подавляющее большинство компаний публикуют свою корпоративную информацию в Интернете. Наличие большого объема информации существенно затрудняет пользователю ее обработку и создает разрыв по времени между размещением информации компанией и ее использованием потребителем. Фактически это приводит к тому, что компания не успевает своевременно ознакомить заинтересованные группы пользователей. Это отрицательно отражается на ожиданиях предприятия, поскольку пользователи не успевают своевременно отреагировать на отчетность. С другой стороны, пользователи лишены возможности своевременно отреагировать на отчетность и принять экономически обоснованное решение.

С целью ускорения процессов передачи и обработки корпоративной информации с 2000 г. за рубежом используется специальный язык XBRL (Extensible Business Reporting Language). Преимущества использования языка XBRL с позиции тех, кто формирует и представляет отчетность, заключаются в следующем:

  • — снизить стоимость подготовки и публикации информации (дешевле);
  • — ускорить принятие бизнес-решений и повысить их эффективность, обеспечить предоставление отчетности всем заинтересованным сторонам в реальном времени (лучше);
  • — автоматизировать перенос информации из систем бухгалтерского учета в финансовую отчетность (быстрее);
  • — улучшить внутреннюю отчетность, используемую для принятия управленческих решений (лучше).

Преимущества использования языка XBRL с позиции потребителей информации заключаются в том, что он:

  • — облегчает доступ и снижает стоимость анализа финансовой информации (дешевле);
  • — позволяет выполнить более глубокий анализ любого уровня и уменьшает возможность человеческих ошибок (лучше);
  • — повышает скорость использования данных и принятия решений (быстрее).

[Дипиаза С. (младший), Экклз Р. Будущее корпоративной отчетности. Как вернуть доверие общества.]

Кроме этого для каждой из сторон язык XBRL позволяет сделать информацию более достоверной за счет использования цифровой подписи.

Следовательно, указанные выше преимущества языка XBRL позволяют существенно снизить бухгалтерские риски для каждой из сторон.

Таким образом, как показали последние десятилетия, существенно возросло влияние на непрерывность деятельности предприятия информационных процессов, связанных с организацией и осуществлением бухгалтерских процедур, с формированием и представлением бухгалтерской отчетности. В этой связи одной из важных задач руководства и бухгалтерской службы является выявление соответствующих угроз, идентификация соответствующих бухгалтерских рисков и принятие мер по их снижению. Качественное и всестороннее управление бухгалтерской информационной системой предприятия является необходимым и достаточным условием достижения экономической безопасности предприятия.

 
Посмотреть оригинал
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы