Анализ развития ИТ в корпорации на основе Интегрированной модели управления рисками COSO ERM

- 3 -

1 2 3 4 5

Риски развития ИТ в корпорации - это бизнес-риски. Для оперативного управления бизнес-рисками проектного управления (Project Management) и процессов управления ITIL уже недостаточно (например, риск мошенничества).

Непосредственный контроль со стороны бизнеса рисков развития ИТ в корпорации, помимо оперативности, способствует решению и других проблем: общего учета бизнес-рисков, включая их взаимовлияние и единых способов управления.

Важно отметить, что перечисленные методы и стандарты не противоречат ИТ-стандартам. Например, для информационной безопасности и управления рисками наиболее часто используется стандарт ISO 17799, «который практически полностью дублирует так называемый метод SAS70, в соответствии с которым аудиторы проверяют соблюдение SOX» [8].

Интегрированная модель COSO ERM также не противоречат ИТ-стандартам и рассматривает следующие области ИТ-рисков:
1. Приложения.
2. Эффективное планирование непрерывности.
3. Черви, вирусы, риски сетевого доступа.

Интегрированная модель COSO ERM осуществляет общий контроль:
- надёжности обработки данных ИС;
- целостности данных;
- целостности программ;
- внедрения и развития ИТ систем;
- непрерывности обработки.

Таким образом, Интегрированная модель COSO ERM обеспечивает управление рисками внедрения и развития ИТ систем в корпорации на протяжении всего жизненного цикла (Systems Development Life Cycle - SDLC) рис.6.

Рис.6. Процесс водопада – SDLC [9]

При рассмотрении рисков систем приложений, рассматриваются риски развития и приобретения. Руководство по сокращению рисков при приобретении программного продукта включает следующие вопросы:
- реализуемость и совместимость;
- история продукта;
- резюме вендора;
- отзывы заказчиков и прессы;
- практика обновлений;
- документация и тренинг;
- поддержка программного продукта.