Библиотека за управление

Информационен одит

Фьодор Байновски Ръководител на ИТ експерта по ИТ одита
Вестник " Управление на риска" , брой 5-6 за 2008 г.

Развитието на информационните системи носи на компанията очевидни предимства. Въпреки това, ако се използват неправилно, те се превръщат в източник на специфични рискове, изпълнението на които не само може да сведе до минимум ефекта от въвеждането на технологията, но и да доведе до значителни загуби. ИТ одитът ви позволява да идентифицирате тези рискове, да оцените ефективността на ИТ системата и да изберете посоки за нейното подобряване.

Исторически погледнато, терминът "информационен технологичен риск" или "ИТ риск" предполага вероятността от възникване на негативни събития, дължащи се на прилагането на конкретни заплахи за сигурността на информацията - вируси, хакерски атаки, кражба на информация, умишлено унищожаване на оборудването. Наскоро обаче тълкуването на този термин значително се разшири и отчита не само рисковете от информационна сигурност, но и рисковете от невъзможност да се постигнат целите за използване на информационните технологии за подобряване на ефективността на основните дейности.

Тези рискове възникват както на етапа на създаване на информационни системи, така и в процеса на тяхното функциониране. При проектирането, документацията, разработването и внедряването на информационни системи това се дължи на:

  • избор на оптимално решение за автоматизация;
  • грешки в дизайна;
  • нарушаване на сроковете и бюджета на проекта;
  • несъответствия между инфраструктура и решения за автоматизация;
  • технически и организационни грешки при инсталирането на системите. На етапа на функциониране на информационните системи значителните рискови фактори за неуспеха да бъдат постигнати са:
  • неефективно взаимодействие между бизнеса и ИТ при определянето на оптималното ниво на подкрепа;
  • неизползване на пълния потенциал на технологиите;
  • невъзможност да се осигури най-приемливо равнище на поддръжка и развитие на системите;
  • неоптимални процедури за поддръжка и решения при непредвидени обстоятелства;
  • грешки при изчисляването на натоварването на инфраструктурните елементи и персонала по поддръжката.

За да се избегнат такива заплахи, компанията трябва да създаде цялостна система, която да интегрира управлението на риска, вътрешния контрол и вътрешния одит както на нивото на основната дейност, така и на ниво информационни технологии, които я поддържат, т.е. Степента на зрялост на тази структура се определя от нейната способност да осигури на правилното ниво ефективното, рационално и безопасно използване на информационните технологии за целите на основната дейност. Колкото по-високо е нивото на зрялост, толкова по-ниско е нивото на ИТ рисковете и толкова по-голяма е ефективността от използването на информационните технологии. При формирането на ИТ система трябва да се разчита на вече съществуващи и общопризнати критерии (стандарти). Над 30-годишната история на науката за ИТ управление на водещи международни институции (ISACA, OGC, ISO) бяха разработени набор от подробни изисквания под формата на колекции от най-добри практики (ITIL) и отворени стандарти (CobiT, ISO 20000 и др.).

ИТ процесите като ключов обект на одита

Международните стандарти за управление и одит в областта на информационните технологии препоръчват да се оцени ИТ системата по отношение на цялостната йерархия на ИТ процесите, подробни цели за наблюдение и стандартни оперативни процедури, за да се определи дали системата отговаря на задачата за минимизиране на рисковете. За тази цел процесите на ИТ, които отговарят за минимизирането на повече от 30 високорискови ИТ рискове, подлежат на задълбочен преглед. Фрагмент от списъка на ИТ рисковете и процесите, в рамките на които се извършват дейности за минимизирането им, е представен в таблица. 1. Тази дейност се разглежда както по специфични за всеки отделен процес въпроси, така и по стандартните елементи на управление на процесите, а именно:

  • разпределяне на отговорността между всички нива на управление и осигуряване на адекватно взаимодействие между тях;
  • наличието и ефективността на механизмите за запазване на компетентността на персонала на изискваното ниво;
  • поддържане на документацията за процеса на всички нива в пълно и актуално състояние;
  • наличието и пълнотата на механизмите за измерване на ефективността и генерирането на вътрешно отчитане за всеки ИТ процес, което позволява на ИТ мениджмънта да оцени степента на постигане на целите и в резултат на това да вземе ефективни управленски решения;
  • наличието на процедури за онлайн мониторинг на текущите дейности, които гарантират своевременното идентифициране на оперативните прекъсвания от линейните мениджъри, например неуспеха на персонала да изпълнява рутинни процедури;
  • наличие на процедури за обмен на информация между свързаните ИТ процеси;
  • методи и специални инструменти за подобряване на ефективността на дейностите, например чрез използване на инструменти за автоматизация за регистриране и записване на потребителски заявки;
  • подобряване на дейностите въз основа на анализ на текущата ефективност и планове за развитие на информационните технологии.

Таблица 1

№ п / п

IT-процес

ИТ риск

Възможни признаци на рискова ситуация

Стратегическо планиране на ИТ

1

На етапа на стратегическото бизнес планиране не се разглеждат въпроси, свързани с ИТ стратегията, което не позволява в проактивния режим да се оптимизира работата на ИТ отдела за реални бизнес изисквания.

Стратегическото планиране на ИТ дейности се осъществява според нуждите в отговор на конкретно бизнес изискване и следователно резултатите са епизодични и непоследователни. Въпросите на стратегическото планиране понякога се обсъждат на заседанията само на ниво управление на ИТ отдела, а не на ръководители на бизнес звена. Създаването на приложения и технологии, които да отговарят на нуждите на бизнеса, е отговор на външни влияния, като предложенията на продавачите, а не на базата на стратегия, разработена от компанията. Оценката на стратегическия риск не е формализирана и се извършва от проект до проект.

ИТ архитектура планиране

2

Структурата на информационните системи не е оптимизирана, което увеличава съкращаването на данните (дублирането) в корпоративната система и намалява съвместимостта на системите и приложенията.

Съществува разнородно развитие на компонентите на информационната структура. Има частично изпълнение на схеми за данни, правила за документация и синтаксис на данни. Дефинициите се отнасят до данни, а не до информация, и се ръководят от предложения от доставчици на приложения. Изясняването на необходимостта от информационна архитектура за служителите е хаотично и несистематично.

Управление на човешките ресурси

3

Политиката за наемане и задържане (мотивиране) на квалифициран персонал не е оптимизирана, което не позволява да се осигури максимален принос на персонала за резултата от ИТ дейност.

Използва се неофициален подход към набирането и управлението на персонала, което е по-вероятно да се дължи на нуждите на конкретни проекти от посоката на развитие на технологиите и задълбочена корелация на предложенията на квалифицирани служители в организацията и отстрани. Провежда се неофициално обучение на нови служители.

Управление на проекти

4

Подходите за управление на проектите не са оптимизирани, което води до неизпълнение на задълженията по условията и разходите за работа. Решението за използване на методологията и подходите за управление на проекти в областта на информационните технологии остава на преценката на отделните мениджъри.

Основните решения за управление на проекти се приемат без управление на потребителя и данни за източника на клиента. Клиентите и потребителите не участват в дефинирането на ИТ проекти или тяхното участие е незначително. ИТ проектите са слабо организирани: ролите и отговорностите на участниците, както и графикът за изпълнение на проектите не са определени, трудовите разходи не се наблюдават.

Придобиване на ИТ инфраструктура

5

Дейността по придобиването и поддръжката на ИТ инфраструктурата не е оптимизирана или стандартизирана. При работа това води до намаляване на производителността на системата и до появата на рискове за сигурността по отношение на данните и програмите, съхранявани в системата.

За всяко ново приложение инфраструктурата се променя без общ план. Услугата е организирана като реакция на краткосрочните нужди. Околната среда за тестване е производствената среда. Придобиването и поддръжката на ИТ инфраструктурата не се основава на конкретна стратегия и не отчита нуждите на бизнес приложенията, които трябва да бъдат подкрепени. Сроковете за обслужване не са напълно разработени и дейностите не са координирани.

Управление на доставчиците на услуги

6

Не съществуват ясни договорни отношения (споразумения) с доставчици на ИТ услуги, включително определяне на ролите, отговорностите и очакванията, както и инспекции и мониторинг на съответните споразумения по отношение на ефективността и спазването, което увеличава риска от увреждане на неизпълнението на задълженията на доставчиците.

Няма официална политика и процедура за сключване на споразумения с външни организации. Оценката на дейностите на организации от трети страни не се извършва. Организациите на трети страни не предоставят отчети. При липса на задължение за докладване, висшият ръководител няма информация за качеството на предоставяните услуги. Няма стандартни условия на договори с доставчиците на услуги. Оценката на предоставяните услуги се извършва произволно и фрагментарно. Методологията зависи от индивидуалния опит на индивида и доставчика (например при поискване).

Управление на непрекъснатостта

7

Не съществува формализиран подход за създаване на планове за осигуряване на непрекъснатост на ИТ дейностите (включително резервни планове за съхранение), което прави възможно в случай на извънредна ситуация да има значителни прекъсвания в предоставянето на ИТ услуги в ключови области и бизнес процеси.

Реакциите за големи нарушения предварително не са измислени и не са подготвени. Планираните спирания на системата се използват, за да отговорят на нуждите на ИТ услугите, без да се вземат предвид изискванията на бизнеса. Подходите, прилагани за осигуряване на непрекъснатост на предоставянето на услуги, се характеризират с непълнота и фрагментация. Получената информация за наличието на системата не отчита състоянието на бизнеса. Няма документирана разпоредба за действията на потребителя или за осигуряване на непрекъсната работа.

Източник: каталог на рисковете, разработен от IT Expert

Отворени стандарти

CobiT (Контролни цели за информация и свързаните с тях технологии) е международен стандарт за управление на корпоративни информационни технологии, който помага за координиране на бизнес и ИТ стратегията, за изграждане на диалог между ръководителите на бизнеса и управлението на информационната услуга. Библиотеката за високи постижения на ITIL (библиотека за инфраструктура за информационни технологии) е стандарт за управление на информационните технологии и е активно използвана в много страни през последните 15 години. ISO 20000 (Информационни технологии - Управление на услугите) е стандарт, който съдържа универсални критерии, чрез които всяка фирма или услуга, предоставяща ИТ услуги, може да оцени тяхната ефективност и да отговори на изискванията на клиентите в светлината на тяхната дейност. Стандартът е замислен като индустриален стандарт - насочен към ИТ услуги - аналог на ISO 9001: 2000.

Одитни етапи

В предварителния етап на одита - етапа на планиране ("I" на фигура 1), по правило се определят изискванията към резултатите, списъкът на рисковете, които трябва да бъдат разгледани и оценени, и границите на одита, т.е. списъкът на бизнес процесите и единиците, които ще бъдат разследвани. Етапът е:

  • предварителна класификация на списъка на ИТ процесите и свързаните ИТ рискове, които трябва да бъдат оценени;
  • хармонизиране на границите на одита: ИТ услуги, системи, фърмуер, единици и специалисти, за които ще се извършва анализ;
  • формиране и одобряване на подробен одитен план.

Одиторът обикновено създава референтен списък на ИТ рисковете, които според международните стандарти са присъщи на етапите на планиране, разработване, внедряване и функциониране на информационните автоматизирани системи. Инициаторът на одита (клиентът), въз основа на посочения списък, определя приоритетите за оценката. Ако представителите на ръководството на компанията действат като клиент на ИТ одита, тогава се препоръчва да се формират въпросници в бизнес условия за получаване на по-точен резултат (Таблица 2). Като се вземат предвид параметрите на времето и ресурсите на одита, се определят границите на одита (услуги, системи, единици и т.н.). Същевременно се препоръчва да се вземат предвид най-важните за целите на бизнеса и / или общите услуги и системи, за да може да се направят обективни изводи за системата за управление на информационните технологии като цяло въз основа на оценка на определена (ключовата) област на одита.

Таблица 2. Извлечение от въпросника за интервюиране на ръководството на компанията и ключови потребители

Описание на ИТ риска (от каталога на рисковете на компанията "ИТ експерт")

Оценка на значението на управлението на ИТ риска

Избраната опция за маркиране

"+"

Етапът на стратегическото бизнес планиране не разглежда въпросите, свързани с ИТ стратегията. Последици:

  • преждевременна реакция на ИТ услугите към бизнес инициативи (откриване на нови офиси, автоматизация на бизнес процесите);
  • увеличаване на финансовите разходи за превод на бизнес инициативи в конкретни ИТ решения (неоптимизирани и погрешни решения, направени от ИТ в бързаме)

Рискът е незначителен

Обяснения на интервюто: рискът е хипотетичен и с малка стойност за дейността на компанията (разходите за управление на риска ще бъдат по-високи от постигнатия ефект)

+/-

Рискът е умерен (приемлив)

Обяснения за интервюто: значението на управлението на този риск в стратегическа перспектива се признава (на този етап е възможно да се направи предварително проучване на въпроса, който не изисква привличане на финансови инвестиции и разходи за значителни временни ресурси на ръководители на бизнеса)

+/-

Риск над средния

Обясненията за интервюто: значението на управлението на този риск (включително разпределение на време и финансови ресурси) вече е признато в краткосрочен план

+/-

Рискът е висок

Обяснения за интервюто: се предполага, че прилагането на този риск е не само възможно в краткосрочен план, но вече е станало

+/-

Допълнителен параметър за оценка

Необходимостта от съвместно участие на ИТ и бизнеса в управлението на този риск се признава

+/-

Коментари и обяснения:

Като се вземе предвид получената информация, одиторът изготвя въпросници, посочващи параметрите на одитните процедури за всеки ИТ процес, включително името на подробните цели на контрола и приблизителния брой изясняващи въпроси. За да се оцени системата за управление на информационните технологии е всеобхватна, се формира йерархия на въпроси от частни до висши. За да се анализира оценката на нивото на зрялост на ИТ процесите, частните проблеми са групирани в подробни контролни цели. Това отчита цялостността и надеждността на данните и доказателствата, предоставени на одиторите.

Например, тук е структурата на въпросника за оценка на ИТ процеса "Управление на услугите на изпълнителите":

Рискове от неизпълнение на целите на процеса:

  • липсата на ясни договорни отношения (споразумения) с доставчиците на ИТ услуги (включително определянето на ролите, отговорностите и очакванията, провеждането на инспекции и мониторинга на съответните споразумения по отношение на ефективността и спазването) увеличава риска от увреждане на доставчиците, които не изпълняват задълженията си.

Въздействие върху постигането на целите

IT-дейности:

  • осигуряване на ефективността на ИТ дейностите - умерено въздействие;
  • осигуряване на рационалността на ИТ дейностите - голямо въздействие;
  • като се гарантира сигурността на ИТ дейностите - голямо въздействие.

Подробни цели на контрола:

  • определянето на политиките на процеса и процедурите за дейността;
  • разпределение на роли;
  • управление на документи;
  • анализ на договорите;
  • управление на договорни разногласия;
  • прехвърляне на права;
  • отговорност и отчетност;
  • инструменти;
  • обхват на процеса;
  • отчитане и показатели. Следващият етап е одит на място ("II" на Фигура 1), в който се провеждат интервюта със служителите на клиентската компания и резултатите от тях се проверяват (Таблица 3). На този етап се препоръчва да се решат следните задачи:
  • провеждат процедури за самооценка, като използват предварително разработени въпросници;
  • провежда интервюиране на ключови служители на обекта на одита, за да се изяснят резултатите от самооценката;

Таблица 3. Фрагмент на въпросника за самооценка за процеса на "конфигуриране на управлението"

№ п / п

Критерии за одит

самостоятелно понятие

от 0 до 3

или да / не

1

Разпоредбата за разделението съдържа указание за задачи, свързани с управлението на конфигурацията

да

2

Функциите на служителите, отговорни за управлението на конфигурациите, включват съответните записи

да

3

Обхватът на CMDB (конфигурационна база данни) е дефиниран и адекватен: сървъри, персонални компютри, DBMS, софтуер, LAN

3

4

Степента на детайлност на атрибутите на конфигурационната единица (име, тип, местоположение, собственик, номер на инвентара, статус, документация, лицензи и др.) Е определена и адекватна.

2

5

Регистрируются взаимоотношения (взаимосвязи) между конфигурационными единицами на физическом и логическом уровне

3

6

Применяется порядок регистрации базисной конфигурации

2

7

Определены и выполняются процедуры контроля над добавлением конфигурационной единицы

8

Определены инициирующие события и периодичность проведения аудита CMDB (проверки того, насколько точно отражена текущая ситуация в CMDB)

да

9

Применяются инструментальные средства аудита, которые могут автоматически выполнять анализ рабочих станций и формировать отчеты о текущей ситуации и статусе IT-инфраструктуры

1

  • провести верификацию результатов интервью и самооценки в рамках процедур наблюдения за деятельностью и детализированного тестирования предоставленных свидетельств (в том числе регламентов, положений, отчетов, записей о событиях и т.п.)

Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:

  • 0 — деятельность не осуществляется и не признается необходимой;
  • 1 — деятельность не осуществляется, но признается необходимой;
  • 2 — деятельность осуществляется фрагментарно и имеет минимальный охват, подтвердить ее свидетельствами невозможно, вероятные отклонения выявить сложно;
  • 3 — деятельность осуществляется на периодической основе, однако имеет небольшой охват и может быть подтверждена свидетельствами только в отдельных случаях или посредством демонстрации в режиме «наблюдения за деятельностью»;
  • 4 — деятельность осуществляется на постоянной основе. Охват процесса находится на удовлетворительном уровне и запланирован к увеличению, в большинстве случаев имеются документальные свидетельства деятельности;
  • 5 — деятельность осуществляется на постоянной основе, имеет полный охват, имеются свидетельства в электронном и бумажном виде, которые пригодны как для внутреннего контроля, так и для аудита. При выставлении оценки необходимо учитывать адекватность документарных свидетельств (аудиторский след), на основании которых можно дать заключение по оцениваемой деятельности. К этой группе документов относятся, например, реестры и описи, регистрационные журналы, протоколы, листы ознакомления, акты и/или отчеты, свидетельствующие о выполнении работы (наряда).

Таблица 4. Фрагмент перечень представленных свидетельств

№ п / п

Документът

Отметка аудитора

1

Положение по управлению конфигурациями серверов, баз данных и виртуальных машин

+

2

Положение по управлению конфигурациями активного сетевого оборудования

+

3

Положение по ведению конфигурационной базы данных персональных компьютеров

+

4

Положение по ведению конфигурационной базы данных персональных компьютеров, на которых производится обработка, хранение и передача конфиденциальных сведений

+

Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.

Отсутствие инцидентов — сигнал об опасности

В качестве примера рекомендаций по проведению верификации по конкретному вопросу — «Реагирование на инциденты информационной безопасности» — может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает. Поэтому процедуры сообщения о случаях нарушения безопасности, инцидент-reporting процедуры, должны быть предусмотрены независимо от того, происходили ли в прошлом какие-либо инциденты или не происходили. Необходимо проверять, имеется ли в данной организации ясное определение понятия «случай нарушения безопасности (инцидент)», и понимают ли его сотрудники, занимающие ответственные должности. Полезно задавать проверочные вопросы, например: «Если вы обнаружили, что ваш сейф с секретными материалами стоит открытый, а вокруг никого нет, то сочтете ли вы это случаем нарушения безопасности?», «Если служащий сообщил о том, что ему по ошибке выдали чужую зарплату, можно ли это считать случаем нарушения безопасности?»

Ключевой задачей аудитора на данном этапе является обеспечение транспарентности механизма формирования итоговых выводов как основного условия доверия к результатам аудита. Все заинтересованные стороны должны иметь возможность отследить причинно-следственную связь в цепочке преобразования результатов аудита от частных к итоговым оценкам. Остановимся на наиболее специфичных этапах преобразования оценок.

Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса (табл. 5). Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Таблица 5. Формула расчета итоговой оценки уровня зрелости

L = L1 + L2 + L3 + L4 + L5

Уровень зрелости по разделу

име

K — вес раздела (сумма баллов равняется 5)

R(Tn) — базовая оценка от 0 до 1 по итогам анкетирования и верификации (фактическая сумма оценок/максимально возможная сумма оценок)

L1 = K × R(T1)

Компетенция

0.75

R(T1)

L2 = K × R(T2)

дейност

1.45

R(T2)

L3 = K × R(T3) × R(T2)

Документирование

1,15

R(T3)

L4 = K × R(T4) × R(T2)

Измерение

0.9

R(T4)

L5 = K × R(T5) × R(T2)

Совершенствование

0.7

R(T5)

Расчет, представленный на рис. 2, позволяет построить тренд уровня зрелости IT-процесса.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности. Длительность постпроверочного периода (времени между аудитами) на практике в большинстве случаев составляет от года до трех лет и определяется с учетом законодательных и нормативных требований по периодичности, а также принципа разумной достаточности — исследуется период, который представляет наибольший интерес для целей формирования прогнозов на будущее.

Расчет уровня IT-рисков

Речь идет об уровне риска после его обработки, например после применения контрмер, направленных на его снижение. В рамках данной процедуры аудитор составляет ранжированный перечень выявленных рисков и сопоставляет базовый уровень риска с уровнем зрелости IT-процесса, отвечающего за управление данным параметром (табл. 6). Допустимым считается остаточный риск (S) 6 и менее. Умеренным — от 7 до 11. Высоким — от 12 до 16. Критическим — от 17 до 25.

Подводя итоги

Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент (рис. 3). Помимо стандартных рекомендаций по устранению выявленных в ходе аудита несоответствий (замечаний), результаты аудита могут быть использованы для разработки ключевых рекомендаций по тактике и стратегии совершенствования системы IT-управления в целом и отдельных IT-процессов, а также для формирования методической основы систем внутреннего контроля и аудита за информационными технологиями организации. Применение рассмотренной выше методики аудита позволяет компании взглянуть на свою систему IT-управления через призму международных стандартов и практического опыта и, как следствие, получить профессиональную экспертную оценку:

  • степени ее соответствия требованиям стандартов, что может быть использовано для определения готовности организации к прохождению сертификационного аудита;
  • ее адекватности целям эффективного формирования добавочной ценности для бизнеса при использовании информационных технологий;
  • ее устойчивости при реализации различных сценариев, например, если рассматривается расширение бизнеса, то оценивается готовность службы IT масштабировать свою деятельность, если речь идет о масштабном переходе на новые информационные системы, анализируется готовность обеспечить надежный переход на новые системы в оптимальный срок, для изменения объемов финансирования оценивается степень адаптивности к соответствующим условиям. На основании проведенной работы вырабатываются рекомендации по стратегии развития управления подразделениями IT, в том числе конкретных процессов управления, предотвращению рисков, совершенствованию работы IT-подразделений и формированию системы внутреннего контроля. Таким образом, IT-аудит закладывает основу для эффективной работы компании в сфере, имеющей первоочередное значение для уровня ее конкурентоспособности, намечает план мероприятий, который остается только воплотить в жизнь. Все остальное уже будет зависеть от самой компании, а точнее, от ее готовности четко следовать выработанным рекомендациям.

Таблица 6. Оценка остаточного уровня IT-риска

IT-риск

Уровень неотъемлемого риска от 0 до 5 (экспертная оценка)

Влияние уровня зрелости IT-процесса (в рамках которого управляется риск) от 0 до 5

Оценка остаточного риска

R1

L

S = 5 × R1 – L 2

Риск увеличения времени от начала разработки до готовности систем из-за отсутствия гибкой инфраструктуры

5

2

21

Риск увеличения времени простоя инфраструктуры

3

2

11

Риск увеличения проблем, связанных с производительностью работы приложений и вызванных несоответствиями в технологической инфраструктуре

4

2

16

Риск нехватки мощностей при внедрении новых IT-решений

3

3

6

Риск повышения затрат на IT-инфраструктуру вследствие создания необоснованных резервов «про запас»

2

3

1