Управление мониторингом ИТ

5. Мозговой штурм по вопросам рационализации и управления риском. Предприятия с высокой степенью риска вводят процессы и обязательства, связанные с постоянным мониторингом рисков. Экономичная альтернатива этому продуманный и подготовленный мозговой штурм с участием высшего руководства и лиц, ответственных за ИТ, безопасность, риски и аудит. Такие мероприятия можно проводить, например, ежегодно.

Результатом должны стать перечни наиболее уязвимых мест и угроз; список мер по улучшению и реагированию. В Приложении 2 даются дополнительные советы по мониторингу безопасности и риска, полезные для мозгового штурма.

6. Внутренний и внешний аудит. Для руководства отчеты внутренних и внешних аудиторов являются важнейшим инструментом мониторинга. В отчетах декларируется цель проверки, указываются ее объем и методология, содержание и охваченный период. В них отражаются: полные результаты и выводы, причины проблем, рекомендации по исправлению ситуации и улучшению деятельности.

Отчет включает заверение, что аудит проведен в соответствии с общепринятыми стандартами, и указание, если возможно, в каких случаях стандарты не соблюдались. В документе содержатся: относящиеся к делу мнения ответственных работников организации; программа, мероприятие или функция, проверенные в соответствии с результатами аудита, выводами и рекомендациями; запланированные корректирующие действия.

За исправление ситуации отвечает руководство компании, но аудитор обязан проконтролировать, приняты ли необходимые меры.

7. Ознакомление руководства с отчетами ответственных работников. Это важнейший элемент управления ИТ. Руководители должны получать для ознакомления отчеты по продвижению к поставленным целям, о степени выполнения задач, об итогах, показателях и рисках. Рассмотрев сообщения, менеджмент обеспечивает своевременное принятие необходимых мер.