Построение системы внутреннего контроля (СВК) в ИТ подразделении

Введение

В настоящее время вопросам совершенствования управления информационными технологиями в компаниях уделяется все больше внимания. Причина этого явления  вполне понятна и объяснима – информационные технологии становятся неотъемлемой частью любого современного бизнеса, и очень часто основой, обеспечивающей конкурентные преимущества этого бизнеса. Однако оборотной стороной такого влияния информационных технологий на бизнес является растущая зависимость надежности бизнес-процессов, и бизнеса в целом, от надежности информационных систем и процессов самого ИТ-подразделения.

Финансовые скандалы, растущая угроза терроризма, факты недобросовестного использования персональных данных вызвали на Западе принятие ряда законов, выполнение требований которых является обязательным для компаний, желающих остаться на рынке.

Законы, регламентирующие системы внутреннего контроля

  • Sarbanes-Oxley Act (SOX) – определяет требования к системе внутреннего контроля и прозрачности финансовой отчетности компаний
  • Graham-Leech-Bliley(GLBA) – обязывает финансовые институты защищать неприкосновенность частной информации клиентов
  • USA Patriot Act (USAPA) – расширяет законодательство США и определяет дополнительные меры по борьбе с терроризмом в США и за пределами
  • Basel II – предлагает единые международных стандарты ведения банковской деятельности, направленные на снижение рисков
  • Health Insurance Portability and Accountability Act (HIPАA) –  направлен на защиту личных данных пациентов медицинских учреждений и информации о состоянии их здоровья

Для большинства крупных международных компаний уже сейчас актуальны требования закона SOX, а для банков – требования Basel II. При этом, несмотря на то, что формально ИТ является только одной из областей повышенного интереса этих законов, на практике, 80% всех вопросов к другим подразделениям прямо или косвенно касаются вопросов автоматизации с помощью ИТ, поскольку ИТ поддерживают большинство основных бизнес-процессов компании.

Этот факт ужесточает требования к системе внутреннего контроля в ИТ-подразделении и многие  ИТ- директора уже почувствовали на себе строгость внешнего аудита в данной области и озадачены вопросом организации работы ИТ в новых условиях. При этом необходимо решать вопрос – как совместить повседневную деятельность с постоянной подготовкой к аудитам и их прохождением?

С другой стороны, интерес к SOX и другим регулирующим актам проявляют компании формально не подпадающие под требования данного законодательства. И это не случайно, поскольку соответствие данным требованиям выводит компанию на качественно иной уровень управления и инвестиционной привлекательности.

Системы внутреннего контроля в ИТ

На сегодня существуют признанные в мировой практике подходы к построению процессов ИТ-подразделения, оформленные в виде стандартов. Для аудита и совершенствования деятельности ИТ – подразделения можно использовать стандарт COBIT, однако большинство практических вопросов остаются за границей данного стандарта и требуют дополнительной самостоятельной проработки. При  этом, в рамках совершенствования деятельности ИТ невозможно оставить в стороне вопросы информационной безопасности описанные в соответствующем стандарте ISO 27000, поскольку информационная безопасность является одним из основных тем  внутреннего контроля.

Другим стандартом, с помощью которого сертифицируется качество работы сервис – ориентированного  ИТ- подразделения, является недавно принятый  ISO 20000, имеющий в своей основе библиотеку ITIL. Использование данных стандартов при совершенствовании процессов ИТ – подразделения является обязательным, однако некоторые вопросы внутреннего контроля регламентированы требованиями сформированными на основании подзаконных актов SOX.

При этом, в новой ситуации, когда ключевые процессы компании, и в частности ИТ-процессы, должны соответствовать требованиям регулирующих актов и законов, принципиальное значение имеет не только каноническая правильность  построения системы управления процессами, с точки зрения того или иного стандарта, но, в первую очередь,  наличие органично встроенной системы внутреннего контроля. Для руководителя ИТ-департамента это означает внедрение нового процесса, призванного обеспечить требуемый уровень прозрачности и качества ИТ-услуг, и ,желательно, без значительного повышения их стоимости. Таким образом, становится очевидным, что задача построения системы внутреннего контроля, базируется не только на методологии управления процессами, но еще и на методологии управления операционными рисками.

Система внутреннего контроля – определения

  • Процесс (Process) – определенная последовательность повторяющихся действий направленная на достижение определенного  результата
  • Риск (Risk) – потенциально существующая вероятность потери ресурсов или неполучения доходов
  • Контроль (контрольная процедура)(Control) – специальные требования при выполнения процесса, направленные на исключение или минимизацию  риска
  • Подтверждение (Evidence) – документальное подтверждение выполнения требований контроля
  • Процедура тестирования (Test procedure)–периодическая процедура проверки  эффективности выполнения контролей

Подходы к внедрению системы внутреннего контроля в ИТ

Внедрение процесса внутреннего контроля в компании и, в частности в ИТ, – серьезный проект, включающий следующие стадии:

  • анализ применимости требований регулирующих актов;
  • идентификация критических областей и процессов;
  • описание процессов «как есть»;
  • определение рисков в процессах;
  • оценка рисков;
  • разработка контрольных процедур;
  • тестирование  контрольных процедур;
  • автоматизация процессов ИТ – подразделения;
  • управление внутренним контролем.

Рассмотрим эти этапы последовательно в следующих главах.

Анализ применимости требований регулирующих актов и идентификация критических областей и процессов

Как правило, для российских представительств западных компаний требования внутреннего контроля «спускаются сверху». Обычно они формируются централизованно на уровне корпорации, что очень часто не всегда соответствует реальным процессам компании и реалиям российской действительности. В этой связи, задачей данной стадии является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

Для компаний, рассматривающих SOX только как ориентир для повышения эффективности своих процессов, изучение методологических материалов SOX немаловажно, поскольку позволяет выбрать для себя правильные управленческие решения и ранжировать работы по совершенствованию процессов по важности. Поэтому, для начала следует определить, какие из требований регулирующих законов применимы для компании, определить критичные области в бизнес-процессах и информационной инфраструктуре. При этом для ИТ – определяются информационные ресурсы и системы компании, отвечающие за поддержку основных процессов компании.

Описание процессов « как есть» 

На данной стадии проводится описание существующих процессов ИТ – подразделения для понимания и фиксации имеющихся в компании основных направлений деятельности ИТ. Для решения данной задачи целесообразно за основу взять процессы верхнего уровня, перечисленные в двух стандартах COBIT и  ISO 20 000. Фактически, на этой стадии, формируется целевые процессы, которые должны существовать в ИТ- подразделении в соответствии с требованиями стандартов.

Далее необходимо проанализировать насколько существующие процессы соответствуют целевой модели процессов ИТ, при этом очень часто многих из них вообще нет в ИТ- подразделении, и это повод задуматься о необходимости их организации. Далее существующие процессы описываются и детализируются до уровня рабочих мест, с четким описанием действий каждого участника, а также входящей и исходящей информации. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур.

Определение рисков в процессах

На этом этапе, необходимо определить, насколько существующие процессы рискованны с точки зрения выполнения требований регулирующих законов. Так, например, для выполнения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также мошенничеству.

К основным группам рисков в ИТ – процессах относятся неавторизованный физический и логический доступ к ИТ – инфраструктуре (корпоративная сеть, базы данных, приложения), внесение неавторизованных или не одобренных должным образом изменений в ИТ -инфраструктуру, системное или прикладное программное обеспечение и т.д.

Определение рисков проводится на основании анализа детального описания процессов. Целью данной операции является получение ответа на вопрос – что может  случиться в данной операции с точки зрения вышеперечисленных категорий рисков. В результате – формируется перечень рисков, привязанных к соответствующим процессам и операциям, где они были обнаружены. Экспертная процедура формирования рисков без анализа процессов, как правило, не позволяет достичь полноты и при внешнем аудите обнаруживается множество неучтенных рисков.

Оценка рисков

Данная стадия необходима для выработки эффективной стратегии компенсации рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и приоритезировать мероприятия по их устранению. В данном случае применяется метод качественных экспертных оценок, позволяющий ранжировать риски по критериям вероятность и убытки. (Метод  количественных оценок, основанный на точном расчете вероятного ущерба  и вероятности риска,  в данном случае сложен в применении).

Выделяют четыре стратегии управления операционными рисками:

  • Принимать: низкая вероятность – низкие убытки. Данная стратегия наиболее простая – риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно.
  • Страховать: низкая вероятность –  высокие убытки. Данная стратегия требует страхования данных рисков с помощью страховых компаний
  • Избегать: высокая вероятность – высокие убытки.  Данная стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании
  • Предотвращать: высокая вероятность – низкие убытки. Данная стратегия требует построения контрольных процедур направленных на минимизацию рисков.

Таким образом, в рассматриваемом случае применимы две последние стратегии: «Избегать» и «Предотвращать». На их достижение направлены две деятельности: оптимизация процессов и внедрение контрольных процедур.
Наиболее простым способом оценки рисков может являться оценка рисков методом качественных оценок (3 на 3) и дальнейшая минимизация рисков, не имеющих в оценке низких значений.

Разработка контрольных процедур

Вообще говоря, деятельность по оптимизации процессов всегда присутствует, скрыто или явно, в любой компании, и в ИТ – подразделении в частности. Но обычно она вызвана внутренними побуждениями:  стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление же внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения этого направления деятельности в компании.      Целью и критерием успешности оптимизации процессов в этой связи является исключение или минимизация найденных рисков путем создания контрольных процедур. Наиболее эффективными являются превентивные контрольные процедуры, которые минимизируют саму вероятность появления риска, однако, для повышения надежности процесса, часто, превентивные процедуры применяют в паре с периодическими проверочными. Например, наряду с процедурой удаления прав доступа к информационным системам при увольнении сотрудника, должна существовать контрольная периодическая процедура сверки списка активных пользователей информационных систем со списком уволенных за период.

Другими примерами контрольных процедур могут являться следующие:
o       Периодическая проверка восстановления резервных копий файл-серверов, баз данных, приложений;
o       Проверка наличия документированных и одобренных руководством запросов на изменение:
– прав доступа пользователя,
– конфигурации сетевого, аппаратного или системного программного обеспечения,
– функциональности приложений.
Для последующей оценки эффективности контролей внутренним или внешним аудитом, крайне необходимо чтобы при выполнении ИТ-процессов вручную или автоматически создавались документальные подтверждения работоспособности каждой контрольной процедуры.

Тестирование контрольных процедур

Для того чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо периодически проверять, как выполняются контрольные процедуры и эта проверка выполняется с помощью набора тестов

Тесты состоят из нескольких последовательных шагов, первым из которых, как правило, является проверка наличия базового документа (политики, процедуры, регламента),  в котором определяется порядок и правила выполнения данного процесса. Далее по шагам проверяется выполнение на практике требований, описанных в базовом документе, и документируются конкретные примеры выполнения с приложением документального подтверждения. По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры, причем это касается, как  эффективности алгоритма процедуры, так и правильности его выполнения. Количество тестов определяется количеством экземпляров процессов проходящих через контрольную процедуру. Обычно тестированию подлежит от 2 до 10% от числа выполненных экземпляров процессов. Периодичность проведения тестирования устанавливается в  зависимости от критичности процесса и может варьироваться от ежемесячной до годовой. Дополнительной сложностью в организации процесса тестирования может быть требование, что тестирование должно проводится сотрудниками, не участвующими в проверяемых процессах.

Автоматизация процессов ИТ- подразделения

В современных условиях, когда количество бизнес- транзакций достигает сотен тысяч в секунду, количество обращений в ИТ – сотен в день, а  среднее количество контрольных процедур для ИТ- процессов колеблется от 50 до 100, наивно надеяться на возможность обеспечить эффективность выполнения контролей «на ручном уровне». Поэтому, единственным эффективным путем является автоматизация ИТ-процессов.

В настоящее время существует достаточное количество программных продуктов импортного и отечественного производства, решающих эту задачу и построенных на принципах ITIL. Другим возможным подходом является применение систем класса Workflow , в рамках которых производится автоматизация всех операций процесса, сбор и каталогизация необходимой информации.

Помимо этого, вслед за автоматизацией процессов необходимо автоматизировать систему тестирования для обеспечения регулярного тестирования контрольных процедур, сбора и архивации результатов.

Управление внутренним контролем

После всего вышесказанного становится понятно, что внутренний контроль должен быть регулярным и, следовательно, должен быть процессом. Как процесс, внутренний контроль требует правильного планирования, выполнения, проведения и совершенствования.  При этом наиболее рационально организовать этот процесс  на уровне компании и сделать владельцем процесса отдел внутреннего контроля или аудита.

Основными задачами владельца процесса внутреннего контроля являются назначение собственников контролей, разработка графика тестирования, оповещение тестеров и собственников контроля о сроках проведения очередного тестирования, сбор и архивация результатов тестирования и получение отчетности для руководства и проверяющих. Эти задачи так же можно и нужно автоматизировать.

Для этого можно применять различные ИТ- решения, от разработанных  самостоятельно, до серьезных.

Заключение

В связи с появлением требований регулирующих законов, одной из основных задач ИТ- директора становится построение системы управления ИТ- и связанными бизнес-процессами, в которой органично присутствует система внутреннего контроля за рисками.

Основной ошибкой является отношение к этой деятельности как к проекту, результаты которого нужны внутреннему или внешнему аудитору. Необходимо изменить отношение к данной деятельности и организовывать ее как процесс, выполняемый на регулярной основе.

Наличие процесса внутреннего контроля в ИТ является отличительным признаком зрелости процессов компании и  ИТ- подразделения, что повышает надежность и прозрачность бизнеса, инвестиционную привлекательность компании, и, что немаловажно, позволяет ИТ – директору заниматься планомерным развитием ИТ и бизнеса, а не скоропостижным устранением списка недостатков в ожидании аудиторов.

 

Голубев Виктор Филиппович,  Директор департамента продаж ИТ – решений
Коптелов Андрей Константинович,  Директор департамента ИТ – консалтинга
Консалтинговая компания IDS Scheer Россия и страны СНГ