Управление бизнес-процессами и развитием информационных технологий

42. Построение системы внутреннего контроля в IT-подразделении

В. Голубев А.К. Коптелов   IT World  август 2007 г

Построение системы внутреннего контроля в IT-подразделении

Автор: IT World,    Источник: It-world.ru
Дата: 2 августа 2007 г.,  Город: Санкт-Петербург
Рубрика: Высокие технологии;

В настоящее время вопросам совершенствования управления информационными технологиями в компаниях уделяется все больше внимания. Причина этого вполне понятна - IT становятся неотъемлемой частью любого современного бизнеса, обеспечивая ему конкурентные преимущества. Однако оборотной стороной такого влияния IT на бизнес является растущая зависимость надежности бизнес-процессов и бизнеса в целом от надежности информационных систем и работы IT-подразделения.
Финансовые скандалы, растущая угроза терроризма, факты недобросовестного использования персональных данных вызвали на Западе принятие ряда законов, выполнение требований которых обязательно для компаний, желающих остаться на рынке:

Sarbanes-Oxley Act (SOX) определяет требования к системе внутреннего контроля и прозрачности финансовой отчетности компаний.

Graham-Leech-Bliley Act (GLBA) обязывает финансовые институты защищать неприкосновенность частной информации клиентов.

USA Patriot Act (USAPA) расширяет законодательство США и определяет дополнительные меры по борьбе с терроризмом в США и за пределами.

Basel II предлагает единые международные стандарты ведения банковской деятельности, направленные на снижение рисков.

Health Insurance Portability and Accountability Act (HIPАA) направлен на защиту личных данных пациентов медицинских учреждений и информации о состоянии их здоровья.

Для большинства крупных международных компаний уже сейчас актуальны требования закона SOX, а для банков - требования Basel II. Несмотря на то, что формально IТ является только одной из областей повышенного интереса этих законов, на практике 80% всех вопросов к другим подразделениям прямо или косвенно касаются вопросов автоматизации с помощью IТ, поскольку IТ поддерживают большинство основных бизнес-процессов компании. Этот факт ужесточает требования к системе внутреннего контроля в IТ-подразделении. Многие IТ-директора уже почувствовали на себе строгость внешнего аудита в данной области и озадачены вопросом организации работы IT в новых условиях. При этом необходимо решать вопрос - как совместить повседневную деятельность с постоянной подготовкой к аудитам и их прохождением?

Примечательно, что интерес к SOX и другим регулирующим актам проявляют компании, формально не подпадающие под требования рассматриваемого законодательства. И это не случайно, поскольку соответствие данным требованиям выводит компанию на качественно иной уровень управления и инвестиционной привлекательности.

Сегодня существуют признанные в мировой практике подходы к построению процессов IT-подразделения, оформленные в виде стандартов. Для аудита и совершенствования деятельности IT-подразделения можно использовать стандарт COBIT, однако большинство практических вопросов остаются за границей данного стандарта и требуют дополнительной самостоятельной проработки. При этом в рамках совершенствования деятельности IT невозможно оставить в стороне вопросы информационной безопасности, описанные в соответствующем стандарте ISO.27.000, поскольку информационная безопасность - одна из основных тем внутреннего контроля. Другим стандартом, с помощью которого сертифицируется качество работы сервисориентированного IT-подразделения, является недавно принятый ISO.20.000, имеющий в своей основе библиотеку ITIL. Использование данных стандартов при совершенствовании процессов IT-подразделения обязательно, однако некоторые вопросы внутреннего контроля регламентированы требованиями, сформированными на основании подзаконных актов SOX.

При этом в новой ситуации, когда ключевые процессы компании, в частности, IT-процессы, должны соответствовать требованиям регулирующих актов и законов, принципиальное значение имеет не только каноническая правильность построения системы управления процессами с точки зрения того или иного стандарта, но, в первую очередь, наличие органично встроенной системы внутреннего контроля. Для руководителя IT-департамента это означает внедрение нового процесса, призванного обеспечить требуемый уровень прозрачности и качества IT-услуг, и желательно, без значительного повышения их стоимости. Таким образом, становится очевидно, что задача построения системы внутреннего контроля базируется не только на методологии управления процессами, но и на методологии управления операционными рисками.

Виктор Голубев - директор департамента продаж IT-решений компании IDS Scheer Россия и страны СНГ
Андрей Коптелов - директор департамента IT-консалтинга компании IDS Scheer Россия и страны СНГ

Журнал Экспресс Электроника № 6-7 за 2007 год

Контактная информация: koptelovak@yandex.ru