При визначенні можливості та необхідності запровадження елементів електронної торгівлі в діяльність підприємства або організації слід враховувати так само, що їй, як і будь-який іншій сфері людської діяльності, притаманні ризики, які можуть призвести до відчутних збитків. Управління ризиками та їх оцінка в системі корпоративного контролю – це система організаційно-економічних заходів, спрямованих на своєчасне виявлення і оцінку потенційних ризиків, попередження або мінімізацію наслідків випадкових і важко передбачуваних подій, які можуть призвести до порушення нормального функціонування або навіть ліквідації підприємств і організацій [9]. Стосовно до електронної комерції це означає визначення ризиків, їх ранжування та прийняття рішення про розподіл відповідальності за контроль над ризиками:

1. вплив комп'ютерних вірусів.
2. перехоплення даних.
3. неправильна ідентифікація користувачів
4. несанкціоноване проникнення в захищені мережі.

      Як правило, у процесі функціонування відділу внутрішнього аудиту виявляється не один ризик, а досить широка сукупність ризиків. Це означає, що стратегія розвитку внутрішнього контролю, орієнтованого на ризик, повинна забезпечувати єдину систему ефективних заходів щодо подолання негативних наслідків кожного елемента зазначеної сукупності, тобто комплексно управляти всією сукупністю, або портфелем ризиків.

      Дана вимога призводить до того, що внутрішній аудит досліджує ризики на двох рівнях:

1. аналіз ризиків окремо, що створює умови для розуміння аудитором особливостей тієї чи іншої ризикової ситуації або специфіки несприятливих наслідків її реалізації. Подібний аналіз дає можливість вибрати найбільш підходящі інструменти управління для кожного конкретного ризику;
2. вивчення ризикового портфеля в цілому, що дозволяє встановити загальний вплив ризиків на розглянуту фірму. Подібне комплексне уявлення Про сукупності ризиків називається профілем ризику, а його документальне вираз – паспортом ризику. Це забезпечує єдину точку зору служби внутрішнього аудиту на ризики фірми, а значить і визначення особливостей її політики з побудови адекватної системи внутрішнього контролю.

      Очевидно, система внутрішнього аудиту, орієнтованого на управління ризиком повинна спиратися на обидва цих рівня і поєднувати в собі інструменти і методи, характерні для кожного з них. Недотримання цієї умови призведе до втрати адекватності проведеної політики і, як наслідок, до зменшення фінансової стійкості фірми.

      Вивчення портфеля ризиків в цілому означає, що у дослідження ризикової ситуації поряд з джерелами невизначеності, пов'язаними з поведінкою окремих ризиків, включається ще одна структурна характеристика ризику – ступінь взаємозв'язку між ризиками. У більшості випадків повна інформація про нього відсутня (наприклад, відомо, що ризики в портфелі корельованості, але не ясно, яким чином або яка природа взаємозв'язку). Тому даний аспект також може бути потужним джерелом невизначеності, в якій має місце система управління ризиком. Для подолання цієї невизначеності служба внутрішнього аудиту використовує інструментарій інформатизації компанії, а саме:

• ефективна організація інформаційних потоків, що дозволяє комплексно вирішувати проблеми найбільш відповідному для цього менеджеру;
• забезпечення інформаційної безпеки прийнятих рішень (включаючи відсутність витоків інформації, своєчасність прийняття рішень, подолання адміністративних бар'єрів і т.д.);
• всебічний облік різних обмежень для прийняття рішень (перш за все, ресурсних і тимчасових) для портфеля ризиків в цілому дозволяє більш ефективно управляти ресурсами.

      Поєднання цих методів з урахуванням специфіки конкретних ризиків на рівні їх індивідуального аналізу робить систему внутрішнього аудиту, орієнтованого на управління ризиком в умовах інформатизації більш адекватною і гнучкою.

      Для компаній будь-якої форми власності та приналежності до будь-якого сектору економіки [9] має сенс дослідити ризики, пов'язані з доступом до інформаційно-комунікаційних технологій для виключення структурної характеристики ризику «небезпеку» в мережі Інтернет.

      Врахування специфіки діяльності комерційної організації в умовах інформатизації дозволить внутрішньому аудитору встановити пріоритет ранжирування профільних ризиків, що вимагає розгляду в першу чергу тих з них, які роблять на діяльність організації найбільший вплив. Взаємозв'язок між стратегією розвитку фірми і системою управління ризиком [9] проявляється не тільки в тому, що перша визначає другу, але й у наявності зворотного зв'язку, а саме: вибір того чи іншого варіанта управління ризиком може зажадати деякого коректування зазначеної стратегії або попереднього обліку певних ризиків при її створенні. Це пояснюється наявністю специфічного впливу ризику при веденні бізнесу в електронному середовищі на такі цілі фірми, як:

1. Продовження операцій. Подія, що виникло в результаті реалізації ризикової ситуації, може бути настільки несприятливим, що призведе до припинення операцій фірми (наприклад, у зв'язку з її банкрутством). Очевидно, що в подібній ситуації мети і місія фірми не можуть бути реалізовані, тому стратегія розвитку фірми повинна враховувати можливість виникнення подібних обставин. У даному аспекті найбільш імовірний ризик, пов'язаний з використанням об'єктів інтелектуальної власності: порушення чужих авторських і патентних прав, плагіат – "піратське" – використання об'єктів інтелектуальної власності, що належать страхувальникові, втрата прав на об'єкти інтелектуальної власності.
2. Стабільність операцій та/або грошових потоків. Фінансовий ризик, породжуваний діяльністю у сфері е-комерції: перерви в бізнес-процесах через атаки хакерів чи помилок в програмах, у тому числі викликаних нелояльністю програмістів і інші непередбачені витрати, ризик втрати або пошкодження обладнання, за допомогою якого здійснюється діяльність на ринку е-комерції; ризик, пов'язаний зі зберіганням та доставкою товарів, що є об'єктами онлайн торгівлі.
3. Прибутковість операцій. Хоча для досягнення певних цілей фірма може дозволити собі відносно короткі періоди збиткової роботи, прибутковість операцій є необхідною умовою її функціонування в довгостроковій перспективі, тому ризик, пов'язаний з фінансовою інформацією, що використовується в сфері електронної комерції (пошкодження, спотворення, розкрадання, блокування доступу) є дуже актуальним.
4. Ділова репутація. Ризик порушення зобов'язань партнерами (наприклад, компаніями, що здійснюють доставку товарів – об'єктів онлайн торгівлі).

      Проведений аналіз показує тісний взаємозв’язок між стратегією розвитку фірми, з одного боку, і ризиками і системою аудиту та контролю, з іншого боку, в умовах розвитку електронної комерції як найважливішого напряму діяльності будь-якої компанії при формуванні конкурентної переваги на ринку. Наявність такого взаємозв'язку свідчить, по-перше, про важливість обліку та внутрішнього аудиту ризиків та здійснення заходів з управління ними і, по-друге, про те, що управління ризиком є важливою складовою частиною загального менеджменту компаній.

4. Аудит інформаційних систем та безпеки web-додатків

      У наш час досить важко уявити собі процвітаючу компанію, у якої немає корпоративної інформаційної системи.

      І дійсно, жорсткі умови сучасного бізнесу, висока конкуренція і колосальне зростання обсягів інформації, стимулюють організації на впровадження інформаційних систем, все більше і більше інформації у них зберігається і все більш цінною і стратегічно важливою стає інформаційна система. Багато в чому ефективність інформаційних систем залежить від того, наскільки добре забезпечений їх захист з точки зору інформаційної безпеки. Адже згідно з дослідженням Gartner, 70% атак спрямовані на бізнес-додатки та бази даних (БД) організацій.

      Основні загрози інформаційної системи:

• порушення цілісності та доступності інформації;
• порушення конфіденційності інформації.
• розкрадання і знищення корпоративної інформації вже не рідкість, на превеликий жаль, кількість подібних інцидентів тільки зростає.

      Для запобігання подібних загроз необхідне проведення аудиту інформаційних систем.

      Основна мета аудиту:

      У першу чергу аудит інформаційної системи призначений для отримання об'єктивної та незалежної оцінки ступеня її захищеності, як від зовнішніх, так і від внутрішніх зловмисників, а так само формування організаційно розпорядчої документації, яка описує повноваження і відповідальність співробітників організації мають доступ до інформаційної системи.

      Коли необхідний аудит інформаційних систем:

• при впровадженні інформаційної системи (CRM, ERP і т.д.);
• при впровадженні нового модуля, до вже існуючої інформаційної системи;
• перед тим як здійснюється інтеграція нового додатка з уже існуючих;
• при підозрі на некоректну функціонування інформаційної системи з точки зору інформаційної безпеки.

      Етапи аудиту інформаційних систем

      Основні етапи аудиту інформаційної системи наступні:

• формування плану аудиту;
• формування робочої групи;
• збір первинної інформації та її аналіз;
• оцінка ризиків на основі отриманої інформації;
• створення плану з управління ризиками;
• розробка рекомендацій з управління ризиками;
• реалізація заходів щодо зниження ризиків.

      Результати аудиту

      Результатом аудиту інформаційної системи є:

• актуальна інформація про поточний рівень захищеності інформаційної системи;
• можливість продовжувати діяльність без побоювання, що інформація може бути викрадена або знищена;
• підвищення конкурентоспроможності на ринку, за рахунок високого рівня інформаційної безпеки;
• наявність організаційно розпорядчої документації, яка описує повноваження і відповідальність співробітників організації;
• зниження ризиків фінансових втрат, за рахунок забезпечення високої відмовостійкості інформаційної системи.

      Більшість компаній в сучасних ринкових умовах приділяють недостатньо уваги безпеці своїх web-додатків. Найчастіше керівництво може виправдовувати такий підхід низьким ступенем впливу web-додатків на бізнес-процеси компанії.

      Якщо мова йде про сайт-візитку, то втрати від скомпрометованого web-сайту дійсно можна розцінити як мінімальні. Однак не варто забувати, що і в цьому випадку компанія може нести значні ризики репутації, пов'язані, наприклад, з ситуацією коли на сайті відбувається малопомітна підміна контенту.

      Зовсім інша ситуація виникає коли бізнес-процеси компанії повністю засновані на функціонуванні web-додатки. До даної категорії відносяться інтернет-магазини, корпоративні портали, електронні торгові майданчики, SaaS-додатки і т.д. Можливі фінансові втрати компанії у разі виведення програми з ладу або розкрадання/підміни даних можуть варіювати в дуже широкому діапазоні.

      Згідно з останнім дослідженням, проведеним Web Application Security Consortium (WASC), ймовірність виникнення вразливостей високого ступеня ризику серед досліджених додатків склала від 80 до 96%

      Методика аудиту

      Проведення аудиту безпеки web-додатки передбачає кілька етапів робіт:

1. Автоматичне сканування. На даному етапі проводиться автоматичне сканування web-сайту за допомогою програмних засобів виявлення вразливостей. Проводиться аналіз наявності типових рішень, застосовуваних для web-ресурсу, таких як CMS, форуми, гостьові книги і тд. Більшість подібних рішень мають відкритий вихідний код і добре вивчені на предмет наявності вразливостей. Додатково проводиться пошук експлойтів у разі виявлення подібних вразливостей.