научная статья по теме СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Экономика и экономические науки

Текст научной статьи на тему «СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ»

Стандартизация информационных технологий

Ф.М. БАЙНОВСКИЙ,

начальник управления аудита информационных систем Департамента внутреннего аудита и ревизий Банка России

П.В. КУДРЯВЦЕВ,

начальник отдела стандартов аудита информационных систем управления аудита информационных, систем Департамента внутреннего аудита и ревизий Банка России

Сегодня ситуация такова, что степень эффективности управления бизнес-процессами зависит прежде всего от состояния информационных технологий (ИТ). Внедрение ИТ дало возможность увеличить эффективность бизнеса, изменило качество используемой информации, позволило снизить часть рисков, а часть рисков просто перестала существовать в связи с изменением технологических процессов, но возникли новые риски, связанные с ИТ. В статье приведены обзоры двух наиболее распространенных в международной практике методологий, определяющих основные подходы и принципы построения эффективного взаимодействия бизнес-подразделений организаций и ИТ-подразделений: СоЬИ и 111!. Кроме того, рассматриваются подходы к проведению аудита системы ИТ-менеджмента с применением указанных методологий и Национального стандарта РФ ГОСТ РИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».

Использование современных информационных технологий (ИТ) дает возможность не только создать новые бизнес-процессы и повысить эффективность затрат, но и увеличивает инвестиции в информацию. Это заставляет по-новому взглянуть на вопросы управления и контроля за ИТ.

В современной динамичной бизнес-среде руководство предприятий (организаций) вправе ожидать повышения качества и функциональных возможностей ИТ, роста прибыли, напрямую связанного с использованием новых информационных технологий, а также адекватного соотношения между полученными преимуществами и возникающими новыми видами рисков применения ИТ.

Управление ИТ-рисками становится ключевым звеном в системе управления деятельностью организации. Все больше организаций осознают потенциальные выгоды, которые могут дать им ИТ, однако, как показывает российский и международный опыт, только немногие организации оценивают,

контролируют и управляют рисками, связанными с их применением. Как следствие, во всем мире растет число организаций, терпящих убытки по причине неадекватного контроля за информационными технологиями, как на стадии внедрения систем, так и на стадии их эксплуатации. Согласно исследованиям, от 40 до 80% ИТ-проектов терпят неудачи1. Успешными в этих исследованиях считались проекты, в результате которых все поставленные цели были достигнуты и не произошло существенного превышения запланированных бюджетов и сроков. Для сравнения: в среднем во всех завершенных проектах было реализовано лишь около 60% планируемой функциональности, а сроки и бюджеты превышались в 1,5 - 4 раза.

Для достижения поставленных бизнес-целей руководству организаций недостаточно использовать возможности только ИТ, необходимо выстраивать многоуровневое управление ИТ: оперативное, тактическое, стратегическое. Руководство организаций заин-

1 Трутнев Д. Р., Доклад на конференции «Информационные технологии в России» 30.09.2004, опубликован http://www.isaca.ru/ агИс1ев/сопио!/ере&оу/с1с1к1ас1-5.Мт1.

тересовано в наличии общеприменимых стандартов и методик, обеспечивающих:

• эффективность системы управления рисками в условиях возрастающей сложности проектов, имеющих отношение к информационным технологиям;

• эффективность процедуры выбора поставщиков ИТ-услуг, адекватность качества управления и контроля за аутсорсингом;

• соответствие отдачи от внедренных информационных технологий лучшим российским и международным практикам;

• адекватную систему внутреннего контроля, обеспечивающую стабильное и предсказуемое использование ИТ;

• соблюдение нормативных требований к системе внутреннего контроля в таких областях, как конфиденциальность при использовании информационных технологий и формирование финансовой отчетности с их использованием (например, закон Сарбейнса-Оксли (Sarbanes-Oxley Act - SOX), Базельские соглашения II);

• содействие инициатив в области ИТ формированию систем контроля за критическими бизнес-операциями.

Мировым сообществом накоплен большой опыт в области управления ИТ, который изложен в различных отраслевых, национальных и международных так называемых открытых стандартах. Опыт может пригодиться организациям для повышения эффективности управления и использования информационных технологий и достижения целей бизнеса. Самое важное среди составляющих процесса управления ИТ - это стремление к обозначенной цели и понимание того, что любая деятельность в области ИТ лишь тогда имеет смысл, когда направлена на достижение целей, поставленных бизнес-подразделениями - пользователями услуг ИТ. Деятельность ИТ не должна быть самоцельной, любая из целей ИТ должна являться отражением требований бизнеса и поддерживать развитие организации в утвержденном ее руководством стратегическом направлении.

Ценность использования открытых стандартов заключается в экономии организациями значительных ресурсов, так как нет необходимости повторно изобретать колесо. При минимуме затрат на получение доступа к открытым стандартам у организации возникает возможность изучить систематизированный опыт ведущих корпораций, международных и государственных организаций, чьи представители участвуют в подготовке соответствующих стандартов.

Естественно, что создание собственных политик безопасности часто намного дороже и менее успешно, чем опора на уже существующие стандарты, например ISO/ IEC 15408 «Общие критерии оценки безопасности информационных технологий», ISO 17799-2005 «Информационные технологии. Свод норм и правил управления информационной безопасностью» и новые стандарты серии 27001-27005. Ряд законодательных актов и требований международных регулирующих организаций (Акт Sarbanes-Oxley в США, Tabaksblat в Нидерландах, Basel II и др.) обязывает организации, к которым эти акты относятся, применять лучшие практики и международные стандарты. Организация, выбирая стандарт de facto,

минимизирует риски использования внутренних стандартов с возможными упущениями или ошибками.

Также организациям выгодно применять стандарты управления, контроля и безопасности ИТ, если она решает использовать аутсорсинг для выполнения части своих функций. Применение «открытых стандартов» при заключении соглашений об уровне обслуживания между партнерами ведет к уменьшению разногласий и снижению сопутствующих затрат и рисков.

Существенно выигрывают и аудиторские фирмы при использовании стандартов de facto. Так, применение при создании внутрифирменных стандартов, программ аудита международных стандартов (CobiT, ITIL/ITSM и ISO 19011) ведет к снижению затрат как для аудитора, так и для аудируемой организации, а также повышает ценность аудиторского заключения.

Получают преимущества при использовании общепризнанных международных стандартов и внутренние аудиторы. Правилом (стандартом) аудиторской деятельности «Рассмотрение работы внутреннего аудита» № 29 (утверждено постановлением Правительства Российской Федерации от 25.08.2006 № 523 «О внесении изменений в федеральные правила (стандарты) аудиторской деятельности, утвержденные постановлением Правительства Российской Федерации от 23.09.2002 № 696») определено, что внешний аудитор рассматривает деятельность службы внутреннего аудита и ее влияние на внешние аудиторские процедуры; также внешний аудитор должен предварительно оценить, насколько эффективны функции службы внутреннего аудита.

Внешний аудитор оценивает и выполняет тестирование эффективности этой работы для подтверждения ее адекватности целям внешнего аудитора. Эффективность внутреннего аудита может оказаться важным фактором при оценке аудиторской организацией аудиторского риска2 и системы внутреннего контроля аудируемой организации, в том числе и деятельности внутренних аудиторов как части системы внутреннего контроля организации. Таким образом, использование в своей работе внутренним аудитором критериев, которые применяются внешним аудитором, может существенно повлиять на оценку всей системы внутреннего контроля организации.

Крупнейшие аудиторские фирмы применяют в своей работе международные стандарты. В статье даются обзоры двух наиболее распространенных в международной практике методологий, определяющих основные подходы и принципы построения эффективного взаимодействия бизнес-подразделений организаций и ИТ-подразделений:

1. Control Objectives for Information and related Technology - «Цели контроля информационных и смежных технологий»;

2. Information Technology Infrastructure Library - «Библиотека инфраструктуры информационных технологий».

Кроме того, предложены к рассмотрению подходы к проведению аудита системы ИТ-менеджмента с применением указанных методологий и национального стандарта РФ ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».

2 См. Правило (стандарт) № 8. Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом, утвержденный постановлением Правительства Российской Федерации от 23 сентября 2002 № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности» (с изменениями от 4 июля 2003 г., 7 октября 2004 г., 16 апреля 2005 г.).

Стандарт CobiT

Стандарт CobiT - результат обобщения мирового опыта, международных и национальных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Разработчики стандарта CobiT опирались на опыт членов своей ассоциации-филиала, экспертов по отрасли и специалистов в области контроля и безопасности. Методика стандарта CobiT представляет собой согласованное мнение экспертов по вопросам управления, контроля и оценки ИТ с позиции основного бизнеса. Использование стандарта, по мнению его авторов, должно помочь организациям (вне зависимости от формы собственности) оптимизировать инвестиции в информационные технологии, способствовать предоставлению требуемого бизнесу уровня ИТ-услуг и обеспечит

Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.

Показать целиком