EUROSAI ITWG model adoption for new IT audit framework: E-government cases

Abstract

Information and communication technologies have the decisive influence on competitiveness and viability of organization. Efficiency, in general, and the information and communication technologies management processes, in particular, is a key factor in contemporary society and business. However, the success is not guaranteed by implementing new information system or technologies, and a lot of risk and challenges are faced by organizations. To prevent these risks, the IT audit is applied as one of extremely important tools. Purpose. To evaluate application of existing IT audit methodologies in public sector of Lithuania and the European Commission nowadays and propose augmentation if it is necessary. Methodology. A systematic literature analysis, benchmarking, observation and structured analysis of the IT audit practice and methodologies. For verifying theoretical model, the empirical data was taken from the Lithuanian Supreme Audit Institution and the Internal Audit Service of the European Commission. Findings. The analysis of IT audit in governmental institutions revealed that Cobit 3 IT audit model can be implemented nowadays for more efficient IT audit process. During the research the newer methodology of IT audit were taken (Cobit 4.1) for this research and parallels with EUROSAI were drown. Empirical research on EUROSAI WGIT revealed that e-government audit is much wider than project management and quality assurance processes (PO10 and PO11 in COBIT 3.0). Although this research has confirmed that those processes in both institutions still occur most frequently, it has also identified other high risk processes related to IT, such as risk and security management (PO9 and DS5). This work provides basis for the further development of EUSOSAI WGIT e-government audit model taking into account the environmental conditions following the full integration of COBIT5 framework to the proposed methodology. In this case, i.e. paying attention to COBIT5 principle – separation of IT governance domain from IT management domains – we can transform the Cube to the Cuboid. Moreover, as the research revealed some different choices of internal and external auditors, there are new possible areas for research on IT audit in public institutions. This could be the analysis of the differences of internal and external auditors or subjective factors in risk assessment at the initial stages of IT audit. Originality. A new model of IT audit in e-government systems is proposed on the basis of IT audit methodology Cobit 4.1 and its parallels with EUROSAI, augmented with risk and security management (PO9 and DS5). This provides basis for the further development of EUSOSAI WGIT e-government audit model after full integration of COBIT5 framework to the proposed methodology. Practical value. Implementation of the proposed model of IT audit in e-government will lead to the decrease in cybercrime, more structured and better managed IT processes in governmental organizations, according to the updated requirements of IT audit methodologies.

Інформаційні й комунікаційні технології мають вирішальний вплив на конкурентоспроможність організації. Ефективність у цілому, та особливо у процесах управління інформаційно-комунікаційними технологіями, є одними із ключових факторів у сучасному суспільстві й бізнесі. Проте успіх не гарантується одним тільки впровадженням нової інформаційної системи або технологій, при впровадженні системи організації стикаються з ризиками. Для запобігання таких ризиків використовується ІТ-аудит як один із надзвичайно важливих інструментів. Мета. Оцінити застосування існуючих методологій ІТ-аудиту в державному секторі Литви та Європейської комісії в даний час і запропонувати поліпшення, якщо це необхідно. Методика. Систематичний аналіз літератури, порівняльний аналіз, спостереження й структурований аналіз практики й методологій ІТ-аудиту. Для перевірки теоретичної моделі емпіричні дані були взяті з Вищої ревізійної установи Литви й Служби внутрішнього аудиту Європейської комісії. Результати. Аналіз ІТ-аудиту в урядових установах показав, що на даний час модель ІТ-аудиту Cobit 3 може бути реалізована для більш ефективного процесу аудиту. Під час дослідження була використана нова методологія ІТ-аудиту (Cobit 4.1) і паралель з EUROSAI була проведена. Емпіричні дослідження EUROSAI WGIT показали, що аудит електронного уряду набагато ширше, ніж процеси управління проектами й забезпечення якості (PO10 і PO11 в COBIT 3.0). Однак це дослідження підтвердило, що ці процеси в обох установах як і раніше найбільш часто зустрічаються, але дослідження також виявило інші процеси високого ризику, пов’язані з ІТ, такі як управління ризиками та безпекою (PO9 і DS5). У роботі формується основа для подальшого розвитку моделі аудиту електронного уряду EUSOSAI WGIT, беручи до уваги умови навколишнього середовища, після повної інтеграції моделі COBIT5 із запропонованою методологією. У цьому випадку, звертаючи увагу на принцип COBIT5 ‒ розділення домену урядових ІТ і доменів управління ІТ ‒ з'являється можливість трансформувати куб у Cuboid. Більш того, оскільки дослідження показало, що існують відмінності між внутрішніми й зовнішніми аудиторами, з’являються нові можливості для дослідження ІТ-аудиту в державних установах. Це може бути аналіз відмінностей між внутрішніми й зовнішніми аудиторами або аналіз суб’єктивних чинників в оцінці ризику на початкових етапах аудиту ІТ. Наукова новизна. Нова модель ІТ-аудиту в системах електронного уряду пропонується на основі методології аудиту ІТ Cobit 4.1 і її паралелей з EUROSAI, доповненої управлінням ризиками й безпекою (PO9 і DS5). Це забезпечує основу для подальшого розвитку EUSOSAI WGIT модель електронного уряду після повної інтеграції основи COBIT5 у запропоновану методологію. Практична значимість. Упровадження запропонованої моделі ІТ-аудиту в електронному уряді призведе до скорочення кіберзлочинності, більш структурованих і поліпшених керованих ІТ-процесів в урядових організаціях відповідно до оновлених вимог методологій аудиту ІТ.

Информационные и коммуникационные тех- нологии оказывают решающее влияние на конку- рентоспособность организации. Эффективность в целом, и особенно в процессах управления инфор- мационно-коммуникационными технологиями, является одними из ключевых факторов в совре- менном обществе и бизнесе. Однако успех не га- рантируется одним только внедрением новой ин- формационной системы или технологий, при вне- дрении системы организации сталкиваются с ри- сками. Для предотвращения таких рисков исполь- зуется IT-аудит как один из чрезвычайно важных инструментов. Цель. Оценить применение существующих ме- тодологий IT-аудита в государственном секторе Литвы и Европейской комиссии в настоящее время и предложить улучшения, если это необходимо. Методика. Систематический анализ литерату- ры, сравнительный анализ, наблюдение и структу- рированный анализ практики и методологий IT- аудита. Для проверки теоретической модели эмпи- рические данные были взяты из Высшего ревизионного учреждения Литвы и Службы внутреннего аудита Европейской комиссии. Результаты. Анализ IT-аудита в правительствен- ных учреждениях показал, что в настоящее время модель IT-аудита Cobit 3 может быть реализована для более эффективного процесса аудита. Во время исследования была использована новая методоло- гия IT-аудита (Cobit 4.1) и параллель с EUROSAI была проведена. Эмпирические исследования EUROSAI WGIT показали, что аудит электронного правительства намного шире, чем процессы управ- ления проектами и обеспечения качества (PO10 и PO11 в COBIT 3.0). Однако это исследование под- твердило, что эти процессы в обоих учреждениях по-прежнему наиболее часто встречаются, но ис- следование также выявило другие процессы высо- кого риска, связанные с IT, такие как управление рисками и безопасностью (PO9 и DS5). В работе формируется основа для дальнейшего развития мо- дели аудита электронного правительства EUSOSAI WGIT, принимая во внимание условия окружаю- щей среды, после полной интеграции модели COBIT5 с предлагаемой методологией. В этом слу- чае, обращая внимание на принцип COBIT5 ‒ раз- деление домена правительственных IT от доменов управления IT ‒ появляется возможность транс- формировать куб в Cuboid. Более того, поскольку исследование показало, что существуют различия между внутренними и внешними аудиторами, по- являются новые возможности для исследования IT- аудита в государственных учреждениях. Это может быть анализ различий между внутренними и внеш- ними аудиторами или анализ субъективных факто- ров в оценке риска на начальных этапах аудита IT. Научная новизна. Новая модель IT-аудита в си- стемах электронного правительства предлагается на основе методологии аудита IT Cobuit 4.1 и ее па- раллелей с EUROSAI, дополненной управлением рисками и безопасностью (PO9 и DS5). Это обеспе- чивает основу для дальнейшего развития EUSOSAI WGIT модель электронного правительства после полной интеграции основы COBIT5 в предлагае- мую методологию. Практическая значимость. Внедрение предлагае- мой модели IT-аудита в электронном правитель- стве приведет к сокращению киберпреступности, более структурированных и улучшенных управляе- мых IT-процессов в правительственных организа- циях в соответствии с обновленными требования- ми методологий аудита IT.