На предварительном этапе аудита – этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:
• предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;
• согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;
• формирование и согласование детального плана аудита.
Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки.
CobiT (Control Objectives for Information and related Technology) – международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) – стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology — Service management) – стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой – нацеленный на IT-услуги – аналог ISO 9001:2000.
Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:
• распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
• наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.
Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:
• выбора неоптимального решения по автоматизации;
• ошибок при проектировании;
• нарушения расчетных сроков и бюджета проекта;
• несоответствия между инфраструктурой и решениями по автоматизации;
