Также целесообразно проводить аудиторскую проверку, когда компания участвует в крупном проекте внедрения ERP, CRM и нуждается в независимой оценке результатов и хода работы для оценки ее эффективности и соответствия требованиям.

В некоторых случаях независимая экспертиза необходима, если компания выходит на фондовый рынок и перед ней стоит требование обосновать эффективность системы внутреннего контроля и управления рисками ИТ. Либо компания находится в стадии продажи, и компания-покупатель инициирует аудит для получения оценки его стоимости, в том числе в области ИТ.

В рамках проведения ИТ-аудита определяется базовый перечень исходных данных, проводятся анализ текущего состояния и выявление основных имеющихся проблем. При анализе используется организационно-техническая документация по системам (технические задания, проектная документация, акты приемки систем в эксплуатацию, методики испытаний и прочее), проводятся интервью с пользователями систем. Такой анализ позволяет не только выявить проблемы, связанные, например, с низкой отдачей действующих систем или высокой стоимостью владения, но также определить и предотвратить многие риски, к примеру:

1) риски информационной безопасности, которые определяются моделью бизнеса и заключаются в повышенных требованиях к конфиденциальности всей внутренней информации, находящейся в системах учета, электронной почте, пользовательских файлах;

2) риски хищения или искажения информации, с которой работает компания. Источниками этих рисков могут быть как собственные сотрудники, так и действия конкурентов;

3) технологические риски, влияющие на непрерывность бизнеса, которые связаны с доступностью ИТ-сервисов для сотрудников, а также возможностью восстановить конфигурацию систем и данные в случаях аварий, отказов оборудования, техногенных катастроф и действий третьих лиц;

4) организационные риски, угрожающие невозможностью управлять системой, данными или всей ИТ-инфраструктурой из-за отсутствия должной технической документации, регламентов, правил работы сотрудников компании и сотрудников ИТ-службы, избыточных прав доступа к системам и данным, отсутствием элементарной защиты от вирусов и сетевых вторжений.

Аудит информационной безопасности является одной из составляющих ИТ-аудита и представляет собой комплекс организационно-технических мероприятий, проводимых независимыми экспертами, имеющих целью оценку состояния информационной безопасности объекта аудита и степени его соответствия критериям аудита.

Целью аудита информационной безопасности являются:

• оценка текущего уровня защищенности ИТ;

• выявление рисков и уязвимостей в системе защиты;

• анализ угроз, которые могут быть реализованы через обнаруженные уязвимости;

• оценка соответствия требованиям системы информационной безопасности;

• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности, а также по приведению в соответствие требованиям системы информационной безопасности.

Результатом проведения ИТ-аудита является «Отчет о текущем состоянии исследуемых областей», который содержит выводы о необходимости развития или модернизации существующих систем с учетом выявленных рисков на основе проведенного анализа, а также рекомендации о возможных направлениях развития, технологических или организационных решениях в области ИТ.

Глава 4

Этапы управления риском ИТ

4.1. Планирование и идентификация рисков

Управление рисками – это целенаправленные процессы, связанные с идентификацией, анализом рисков и принятием управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь на протяжении всего жизненного цикла проекта.

Как и любая другая деятельность в проекте, управление рисками требует времени и затрат ресурсов. Поэтому эта работа обязательно должна планироваться. На этапе планирования рисков (первом этапе процесса управления рисками) происходят организация работ и планирование действий по управлению рисками с привязкой к жизненному циклу ИТ-проекта. То есть планирование управления рисками – это процесс определения подходов и планирования операций по управлению рисками проекта.