Читаем Обеспечение информационной безопасности бизнеса полностью

— Внутренняя среда. Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию менеджмента риска и уровень риска, на который готова идти организация, честность и этические ценности, а также ту среду, в которой они существуют.

— Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс менеджмента риска предоставляет «разумную» гарантию (если более точно, то определенное основание для уверенности) того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют задачам организации и ее готовность идти на риск.

— Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски (потери) или возможности (благоприятное стечение обстоятельств, «улыбнулась удача» и т. п.). Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

— Оценка рисков. Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего (характерного) и остаточного риска.

— Реагирование на риск. Руководство выбирает метод реагирования на риск — уход от риска, принятие, снижение или перенос (перераспределение) риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и готовностью организации рисковать.

— Средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

— Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.

— Мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется и совершенствуется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Система внутреннего контроля организации позиционируется как составная часть процесса менеджмента риска организации. Менеджмент риска на уровне организации рассматривается как процесс более широкий, чем внутренний контроль. Он включает и развивает систему внутреннего контроля, преобразуя ее в более эффективную форму, акцентированную на риск. В свою очередь менеджмент риска рассматривается как часть общекорпоративного менеджмента.

Современные международные стандарты внутреннего аудита предполагают возможность аудита и оценки как систем внутреннего контроля организации, так и их систем менеджмента риска. Например, стандарт Института внутренних аудиторов (The Institute of Internal Auditors, IIA) в срезе деятельности IIA 2110 определяет целью проводимых подразделениями внутреннего аудита мероприятий осуществление мониторинга и оценки эффективности действующей в организации системы менеджмента риска. В частности, подразделениям внутреннего аудита вменяется в обязанности оценки степени риска, связанного с действиями руководства организации, ее операционной деятельностью и функционированием ее информационных систем с точки зрения:

— эффективности и результативности операций;

— надежности и достоверности финансовой и оперативной информации;

— сохранности активов;

— соблюдения законов, регламентов и контрактов.

Применительно к информационной сфере организации модель Комитета COSO развивается рядом опять же «стандартов де-факто», таких как COBIT и ITIL. Базовые решения методологии ITIL закреплены отдельными международными стандартами менеджмента услуг информационных технологий в организации из соответствующего семейства стандартов менеджмента ISO/IEC 20000 [21].

Каждая из спецификаций стандартов COBIT и ITIL включает серию объемных документов, подробно останавливаться на которых в формате данного издания не представляется необходимым. Стандарт COBIT претерпел уже 4-ю редакцию (в 2007 г. опубликована редакция 4.1), а спецификация ITIL — 3-ю.

В целом оба из отмеченных стандартизированных подходов (COBIT и ITIL) преследуют следующие общие цели использования информационных технологий в организациях:

— соответствие требованиям, предъявляемым высшим руководством организации;

— обеспечение прозрачности влияния на бизнес и рисков, связанных с ИТ;

— создание механизмов, гарантирующих достижение поставленных целей;

— повышение эффективности реакций на требования бизнеса и изменения в стратегии организации;