IT-процессы как ключевой объект аудита
Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:
• распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
• наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
• поддержание в полном и актуальном состоянии процессной документации на всех уровнях;
• наличие и полнота механизмов измерения производительности и формирования внутренней отчетности для каждого IT-процесса, позволяющая руководству IT-службы оценивать степень достижения целевых показателей и, как следствие, принимать эффективные управленческие решения;
• наличие процедур оперативного монито-
ринга текущей деятельности, обеспечивающих своевременную идентификацию операционных сбоев линейными менеджерами, например невыполнение сотрудниками штатных процедур; • наличие процедур информационного обмена между смежными IT-процессами;
• методы и специальные инструменты, позволяющие повысить эффективность деятельности, например использования средств автоматизации для регистрации и учета обращений пользователей;
• совершенствование деятельности на основе анализа текущей эффективности и планов развития информационных технологий.
• распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
• наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
• поддержание в полном и актуальном состоянии процессной документации на всех уровнях;
• наличие и полнота механизмов измерения производительности и формирования внутренней отчетности для каждого IT-процесса, позволяющая руководству IT-службы оценивать степень достижения целевых показателей и, как следствие, принимать эффективные управленческие решения;
• наличие процедур оперативного монито-
ринга текущей деятельности, обеспечивающих своевременную идентификацию операционных сбоев линейными менеджерами, например невыполнение сотрудниками штатных процедур; • наличие процедур информационного обмена между смежными IT-процессами;
• методы и специальные инструменты, позволяющие повысить эффективность деятельности, например использования средств автоматизации для регистрации и учета обращений пользователей;
• совершенствование деятельности на основе анализа текущей эффективности и планов развития информационных технологий.