Книга: Обеспечение информационной безопасности бизнеса

2.3. Модели COSO, COBIT, ITIL

2.3. Модели COSO, COBIT, ITIL

Структура, получившая широкую известность под аббревиатурой COSO (The Committee of Sponsoring Organizations [of the Treadway Commission] — Комитет спонсорских организаций [комиссии Тредвея]), была учреждена в 1985 г. COSO был создан для финансирования работ независимой национальной (американской) комиссии, образованной для выработки мер противодействия мошенничеству с финансовой отчетностью. Целью деятельности комиссии являлось изучение факторов, которые могут приводить к мошенничеству с финансовой отчетностью, а также выработка рекомендаций для частных компаний и их независимых аудиторов, для инспекторов Комиссии США по ценным бумагам и биржевым операциям (SEC) и других инспекторов и образовательных учреждений.

Спонсорами (членами COSO) выступили профессиональные организации (ассоциации), которые напрямую зависели от последствий фактов мошенничества с финансовой отчетностью. Это пять профессиональных ассоциаций, располагавшихся в США: Американская ассоциация бухгалтеров, Американский институт дипломированных общественных бухгалтеров, Международная ассоциация финансовых руководителей, Институт внутренних аудиторов и Национальная ассоциацией бухгалтеров (ныне известен как Институт бухгалтеров-управленцев). Комиссию возглавили шесть инспекторов во главе с Джеймсом Тредвеем-младшим, на то время бывшим уполномоченным Комиссии по ценным бумагам и биржевым операциям США. В комиссию вошли представители промышленности, независимого бухгалтерского учета и аудита, инвестиционных компаний и Нью-Йоркской фондовой биржи.

Результаты не заставили себя долго ждать. В октябре 1987 г. после годичного обсуждения был опубликован первый отчет Комиссии, рассматривающий следующие вопросы:

— обзор систем финансовой отчетности и мошенничество в финансовой отчетности;

— рекомендации для публичных (акционерных) компаний;

— рекомендации для независимых аудиторов;

— рекомендации Комиссии по ценным бумагам и биржевым операциям и другим органам, вовлеченным в регулирование данной области деятельности;

— рекомендации для образовательных задач;

— приложения (аналитика, практические примеры).

Фактически первый отчет комиссии 1987 г. дал направленность всем последующим публикациям, известным под аббревиатурой COSO. К настоящему времени основные направления деятельности комиссии отражены в документах, посвященных следующим вопросам:

— анализ фактов мошенничества в финансовой отчетности;

— внутренний контроль;

— менеджмент риска в организации.

Документы комиссии по вопросам организации внутреннего контроля и риск-менеджмента в компаниях наиболее востребованы практикой в сфере корпоративного управления и контроля (аудита). Процессы глобализации финансовых, сырьевых, товарных рынков послужили дополнительным стимулом поиска универсальных методологических (модельных) платформ функционирования организаций (моделей деятельности организаций). Модель системы внутреннего контроля COSO уже де-факто стала эталоном организации внутрикорпоративной деятельности. Более десяти лет назад Комиссия COSO выпустила один из первых документов «Концептуальные основы внутреннего контроля», направленный на оказание помощи предприятиям и организациям в проведении оценки и совершенствовании их систем внутреннего контроля. Тысячи компаний приняли и использовали эту концепцию при выработке решений относительно своих политик, правил и процедур внутреннего контроля.

В 2001 г. COSO инициировал проект по разработке концептуальных основ менеджмента риска для использования руководством компаний при оценке своей системы управления рисками и ее дальнейшем совершенствовании. Период разработки концептуальной базы по менеджменту риска COSO был отмечен рядом корпоративных скандалов и банкротств в Европе и Америке, получивших широкую огласку и принесших значительные убытки инвесторам, персоналу компаний и другим заинтересованным сторонам. В этих условиях потребность в создании концептуальной базы по менеджменту рисками, устанавливающей основные принципы и концепции, общую терминологию, четкие указания и рекомендации, стала еще более очевидной.

Одним из последствий указанных событий стало принятие в 2002 г. в США так называемого Закона Сарбейнса — Оксли (известного как SOX). Аналогичные законы были приняты или готовятся к принятию и в других странах. Указанная серия законов расширяет существовавшие требования к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности таких систем, а на независимого аудитора [финансовой отчетности] — удостоверять предоставленные сведения.

Одним из самых важных вопросов, решаемых высшим руководством организаций, как отмечается в материалах COSO, является определение величины риска, который организация готова принять и принимает в процессе своей деятельности по созданию добавленной стоимости (материалы комиссии, финансируемой COSO, обращены к коммерческим структурам, в связи с этим в ее материалах делается акцент на прибыль/добавленную стоимость).

Основная предпосылка при менеджменте рисками деятельности организации заключается в том, что каждая организация существует, чтобы создавать добавленную стоимость для сторон, заинтересованных в ее деятельности. При этом все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон. В связи с этим неопределенность, с одной стороны, таит в себе риск (потери), а с другой — может открыть новые возможности, поэтому принятые в условиях неопределенности решения могут привести как к снижению, так и к увеличению стоимости. Менеджмент риска, как отмечается в материалах COSO, позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал для роста стоимости компании.

Рост стоимости будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом компании, ее прибыльностью и рисками; эффективно и результативно использует ресурсы, необходимые для достижения целей организации.

В соответствии с методологией COSO менеджмент риска организации включает в себя следующие ключевые задачи:

— определение уровня риска, на который готова идти организация в соответствии со своей стратегией развития;

— совершенствование процесса принятия решений по реагированию на возникающие риски;

— сокращение числа непредвиденных событий и убытков в хозяйственной деятельности;

— определение и управление всей совокупностью рисков в хозяйственной деятельности;

— использование благоприятных возможностей;

— рациональное использование капитала.

Возможные подходы к определению уровня риска, на который готова идти организация (величину приемлемой степени риска), схематично иллюстрирует рис. 45.

По мнению авторов рекомендаций COSO, возможности, открываемые процессом менеджмента риска организации, помогают руководству в достижении целевых показателей прибыльности и рентабельности, а также в предотвращении нерационального использования ресурсов. При этом процесс менеджмента риска способствует обеспечению эффективности процесса составления финансовой отчетности, а также соблюдения законодательных и нормативных актов, избежания нанесения ущерба репутации компании и связанных с этим последствий. Посредством этого процесс менеджмента риска позволяет руководству достигать своих целей и при этом избегать просчетов и неожиданностей.

Влияние событий в сфере неопределенности может быть положительным, отрицательным или одновременно и тем и другим. События, влияние которых является отрицательным, методологией COSO предлагается относить к риску, который мешает созданию или ведет к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также положительно влиять на достижение результата.

По COSO менеджмент риска организации:

— представляет собой непрерывный процесс, охватывающий всю организацию;

— осуществляется сотрудниками на всех уровнях организации;

— используется при разработке и формировании стратегии;

— применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;

— нацелен на определение событий, которые могут влиять на организацию и менеджмент рисками таким образом, чтобы они не превышали порог готовности организации идти на риск;

— дает руководству и совету директоров организации разумную гарантию достижения целей;

— связан с достижением целей по одной или нескольким пересекающимся категориям.

Существует прямая взаимосвязь между целями, или тем, чего организация стремится достичь, и компонентами процесса менеджмента рисками организации, представляющими собой действия, необходимые для их достижения. Данная взаимосвязь иллюстрируется в материалах COSO трехмерной матрицей (кубом), представленным на рис. 46.

Данный рисунок отражает пересмотренный подход руководств Комитета COSO (называемые еще COSO II), которые являются более детализированным по сравнению с материалами, лежащими в основе первого блока руководств Комитета COSO, датируемого началом 1990-х гг.

Применение систематизированного подхода в рамках менеджмента риска организации позволяет обеспечить оптимальное управление ситуацией в условиях неопределенности и принятие более осознанных решений по вопросам риска. Для реализации данного подхода на практике организация должна разработать/принять удовлетворяющую ее целям понятийную базу, установить цели, задачи, объемы, распределить ответственность, а также утвердить методологию управления операционными рисками.

Восемь взаимосвязанных компонентов менеджмента риска организации по методологии Комитета COSO (см. рис. 46) поясняются следующим образом.

— Внутренняя среда. Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию менеджмента риска и уровень риска, на который готова идти организация, честность и этические ценности, а также ту среду, в которой они существуют.

— Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс менеджмента риска предоставляет «разумную» гарантию (если более точно, то определенное основание для уверенности) того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют задачам организации и ее готовность идти на риск.

— Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски (потери) или возможности (благоприятное стечение обстоятельств, «улыбнулась удача» и т. п.). Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

— Оценка рисков. Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего (характерного) и остаточного риска.

— Реагирование на риск. Руководство выбирает метод реагирования на риск — уход от риска, принятие, снижение или перенос (перераспределение) риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и готовностью организации рисковать.

— Средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

— Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.

— Мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется и совершенствуется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Система внутреннего контроля организации позиционируется как составная часть процесса менеджмента риска организации. Менеджмент риска на уровне организации рассматривается как процесс более широкий, чем внутренний контроль. Он включает и развивает систему внутреннего контроля, преобразуя ее в более эффективную форму, акцентированную на риск. В свою очередь менеджмент риска рассматривается как часть общекорпоративного менеджмента.

Современные международные стандарты внутреннего аудита предполагают возможность аудита и оценки как систем внутреннего контроля организации, так и их систем менеджмента риска. Например, стандарт Института внутренних аудиторов (The Institute of Internal Auditors, IIA) в срезе деятельности IIA 2110 определяет целью проводимых подразделениями внутреннего аудита мероприятий осуществление мониторинга и оценки эффективности действующей в организации системы менеджмента риска. В частности, подразделениям внутреннего аудита вменяется в обязанности оценки степени риска, связанного с действиями руководства организации, ее операционной деятельностью и функционированием ее информационных систем с точки зрения:

— эффективности и результативности операций;

— надежности и достоверности финансовой и оперативной информации;

— сохранности активов;

— соблюдения законов, регламентов и контрактов.

Применительно к информационной сфере организации модель Комитета COSO развивается рядом опять же «стандартов де-факто», таких как COBIT и ITIL. Базовые решения методологии ITIL закреплены отдельными международными стандартами менеджмента услуг информационных технологий в организации из соответствующего семейства стандартов менеджмента ISO/IEC 20000 [21].

Каждая из спецификаций стандартов COBIT и ITIL включает серию объемных документов, подробно останавливаться на которых в формате данного издания не представляется необходимым. Стандарт COBIT претерпел уже 4-ю редакцию (в 2007 г. опубликована редакция 4.1), а спецификация ITIL — 3-ю.

В целом оба из отмеченных стандартизированных подходов (COBIT и ITIL) преследуют следующие общие цели использования информационных технологий в организациях:

— соответствие требованиям, предъявляемым высшим руководством организации;

— обеспечение прозрачности влияния на бизнес и рисков, связанных с ИТ;

— создание механизмов, гарантирующих достижение поставленных целей;

— повышение эффективности реакций на требования бизнеса и изменения в стратегии организации;

— обеспечение эффективной трансляции бизнес-требований в соответствующие возможности решений в сфере информационных технологий;

— интеграция приложений и информационных технологий в бизнес-процессы организации;

— обеспечение эффективных взаимоотношений с другими организациями;

— обеспечение прозрачности ИТ-расходов, потенциала, стратегии, политики и качества услуг;

— обеспечение учета и эффективного использования всех ИТ-активов;

— увеличение эффективности инвестиций в ИТ и вклада информационных технологий в общую эффективность бизнеса;

— оптимизация ИТ-инфраструктуры и ресурсов;

— обеспечение достоверности выполняемых автоматизированных транзакций;

— обеспечение адекватного противодействия ИТ неблагоприятным внешним и внутренним факторам;

— обеспечение требуемой доступности ИТ-услуг;

— поддержка целостности информации и инфраструктуры;

— обеспечение соответствия ИТ-деятельности законам и регулирующим нормам;

— обеспечение стабильного качества услуг, поддержка процесса непрерывного совершенствования.

Все перечисленные позиции органично развивают положения модели Комитета COSO, предлагая риск-ориентированный прагматичный подход к использованию организациями информационных технологий в контексте пользы и выгоды организации от их применения.

Оба стандарта базируются на модели непрерывного совершенствования (в спецификации ITIL явно указано на соответствие модели ИСО 9000; стандарт COBIT подобных формулировок не содержит, но фактически им соответствует).

Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.

Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.

Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.

Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:

— обеспечения связи с бизнес-требованиями;

— систематизации ИТ-деятельности в виде общепризнанной процессной модели;

— идентификации основных ИТ-ресурсов, которые должны использоваться;

— определения целей контроля управления, которые должны рассматриваться.

Для организации в целом, использование рекомендаций COBIT обеспечивает основу для:

— создания измеримой связи между бизнес-требованиями и ИТ-целями;

— предоставления инструментальных средств для руководства;

— установления целей и метрик, позволяющих оценивать функционирование ИТ;

— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;

— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.

В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:

— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;

— общее понимание среди всех причастных сторон, основанное на общем языке;

— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;

— четкие обязанности и принципы владения на основе процессной ориент ации;

— широкое признание третьими сторонами и регулятивными органами;

— удовлетворение требований COSO для среды контроля ИТ.

Общую спецификацию процессов COBIT иллюстрирует рис. 47.

Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:

— исполнительного высшего руководства организации и правления;

— бизнес-руководителей и ИТ-руководства;

— специалистов в сфере корпоративного управления, доверия, контроля и безопасности.

Существуют также производные продукты (руководства) для определенных целей, например, документы, которые рассматривают:

— цели контроля ИТ (на основе COBIT) для Закона Сарбейнса — Оксли;

— базовый уровень безопасности и менеджмент информационной безопасностью COBIT: руководство для совета директоров и исполнительного руководства;

— руководство к COBIT для малых и средних предприятий или больших предприятий, стремящихся достичь более широкой реализации корпоративного управления ИТ.

Все компоненты COBIT взаимосвязаны и предназначены для поддержки потребностей в корпоративном управлении, управлении, контроле и доверии различных заинтересованных сторон (см. рис. 49).

COBIT — это структура и совокупность поддерживающих механизмов и технологий, которые позволяют руководителям ликвидировать расхождения в отношении требований контроля, технических вопросов и бизнес-рисков и информировать об этом уровне контроля причастные стороны.

Практическая сторона использования любой рассмотренной стандартизированной спецификации ИТ, как COBIT, так и ITIL и иных подобных, в конечном случае сопряжена с оценками и измерениями в операционной среде организации. Только информация контроля может показать, насколько планы предприятия реализованы. Только данные по измерениям могут показать «на сколько» планы реализованы или перевыполнены. Тот же COBIT иллюстрирует данный тезис, как показано на рис. 50.

В конечном итоге информация контроля и данные измерений и оценки имеют ценность в организации ровно настолько, насколько ее способна «переварить» система корпоративного контроля и управления.

Измеренное (оцененное) значение «0,8», «40», «70 %» без контекста, сопровождающего данное значение оценки, абсолютно бесполезно для системы принятия решений организации (надо что-то делать или, может, подождать). Более того, оно вредно, так как сопровождается затратой ресурсов организации (операционной среды и системы управления), если только наличие какой-либо оценки не является основной целью такой оценки.

В вопросах совершенствования необходимы сведения об ожиданиях (целях и задачах), имевших место при планировании работ. Тогда контроль и измерения в таких условиях сопровождаются платформой и семантикой предполагаемой шкалы и методов контроля и измерения.

При следовании организацией рекомендациям модели Комитета COSO в системе корпоративного менеджмента функциональные и обеспечивающие подразделения, а также ее высшее руководство получают возможность использования в своей практике соответствующих их деятельности моделей непрерывного совершенствования. Наряду с этим и высшее руководство потенциально способно эффективно управлять и адекватно реагировать на события в своей операционной среде и среде бизнеса своей организации. В таких условиях возможно максимально эффективное использование практически любого стандартизированного решения, реализующего модели непрерывного совершенствования, как для сферы обеспечения информационной безопасности бизнеса, так и для информатизации и контроля информационных технологий. Более того, это позволяет выстраивать максимально эффективные и результативные «горизонтальные» связи, например, между подразделениями информатизации и безопасности в контексте общих принципов корпоративного менеджмента и контроля достижения целей деятельности организации.

Далее рассмотрим возможные подходы к измерениям и контролю в моделях непрерывного совершенствования, включая совершенствования системы менеджменты информационной безопасности бизнеса.

Оглавление книги