Аудит ИТ процессов

Тема ИТ аудита с каждым годом становится все популярней среди представителей отечественного бизнеса. Поэтому необходимо широко осветить, что же такое, собственно, аудит ИТ процессов.

Кто и почему задумается о проверке?

• При приходе нового генерального или ИТ директора часто проводится общая диагностика.
• Причиной может стать низкий уровень доверия к работе внутренней ИТ службы, необходимость посторонней оценки.
• У руководителя возникают вопросы по поводу ситуации с ИТ и денежных расходов на содержание системы.
• Иногда независимая оценка проводится в соответствии с требованиями закона, в частности, на предмет безопасности системы.
• Руководство хочет удостовериться в том, что в ИТ все «делается правильно».

Цели проведения аудита ИТ процессов:

• Получение авторитетной независимой экспертной оценки.
• Оценка на соответствие определенным нормам или правилам.
• Соблюдение требования закона.
• Получение мнения профессионалов.

Для каждой из перечисленных целей можно использовать собственные модели и методы проведения диагностики. Поэтому специалисты склонны считать, что необходимо каждый раз точно понимать, что же в данном случае имеется в виду, и какую цель преследует проведение проверки. Отдельные направления проверки уже обладают собственными стандартами, группами и ассоциациями аудиторов, но многим еще до этого далеко.

Во время проверки порой то, кто ее проводит, значит больше, чем то, каким образом и с применение какой модели это делается. По этой причине часто руководство предприятия готово обратиться с вопросом проведения аудита ИТ проектов к тому, кому доверяет. В каких случаях такой подход оправдан:

• аудитор знаком с компанией-заказчиком, ее бизнесом, стратегическими целями и вероятными рисками;
• мнение исполнителя авторитетно в среде профессионалов, поэтому результаты проверки можно использовать в различных целях;
• взаимопонимание между заказчиком и подрядчиком уже установлено, что может способствовать сокращению сроков и бюджета проекта.

Результаты диагностики

Какую бы конечную цель не имело тестирование, он должен приносить реальные результаты. Отчет аудиторов обязан быть доказательным и полным. В большинстве случаев он содержит полезные рекомендации, и это тоже очень важно, поскольку именно советы по оптимизации работы информационной системы предприятия и являются ключевой целью проверки.

У нас еще распространена ситуация, при которой проведение проверки должно повлечь за собой наказание виновных в случае его неудовлетворительных результатов. На самом деле задачей диагностики должна быть фиксация текущего положения дел и понимание способов его улучшения. Аудит ИТ процессов – не недоверие к внутреннему ИТ подразделению, а признак зрелости ведения бизнеса.

Модели ИТ аудита

Выбор определенной модели зависит от задач проведения. Возможен аудит на соответствие чему-либо. Так, аудит ИТ проектов может быть проведен на предмет соответствия указанных в уставе норм регламенту компании (в случае, если у нее существуют собственные СТП (стандарты предприятия) по проектам в сфере ИТ, стандартные профили и др.). При этом общих норм для ИТ проектов не существует, действующие имеют рекомендательный характер. В случае, если утвержденных норм в проекте просто нет, можно говорить об экспертизе проекта.

Те же параметры относятся и к сервису, и к управлению ИТ в компании в целом. Обязательных к соблюдению норм просто нет. При проведении тестирования необходимо выбрать эталонную модель и проводить сравнение с ней. Среди подобных моделей: ГОСТ 34.хх, ISO 12207, COBIT, ISO 20000, ISO 9001 и пр. Следует учитывать, что каждая из них требует адаптации при каждой конкретной проверке и имеет свои рамки применения.

Если основным вопросом обследования становится вопрос оптимизации работы информационной структуры, то выбирается модель, которая основывается на оценке возможных рисков либо на экспертизе в определенной области.

В случае, если у руководства аудируемой компании есть сомнения в каком-либо параметре в области ИТ, это можно представить как риск. При этом управление на основе рисков подразумевает развитый специфический менеджмент. Из-за этого подобная модель не получила широкого распространения ни у нас, ни за рубежом. Диагностику часто проводят и с целью понижения вероятности одного основного риска. Например, в свое время аудит часто проводился в связи с «проблемой 2000».

Также обстоит дело и с эффективностью. Если руководство интересует только пара бюджетных статей, то для их проверки и привлекается аудитор. Обычно в подобном случае проводится экспертиза.

Этапы ИТ аудита:

• уточнение цели и согласование проводимых мероприятий;
• проведение обследования с документированием;
• проверки (тестирование);
• формирование рекомендаций и отчета.

Обычно при проведении мероприятий обследования применяется интервьюирование руководства и сотрудников клиентской компании, анализ имеющейся документации. Аудитор располагает собственной базой проверочных вопросов, задаваемых для определения реальной ситуации в рамках применяемой модели.

Самое важное при проведении ИТ аудита

В первую очередь необходимо определиться с целями и зафиксировать их письменно. Далее аудитор и заказчик должны обсудить между собой не только задачи, но и стратегию будущего аудита.

Каждая компания обязана всегда учитывать возможную необходимость проведения проверки. Так, проводящая обследование фирма может столкнуться с такой проблемой, как соглашение о соблюдении конфиденциальности. Аудитору для того, чтобы получить формальный доступ к документации, может потребоваться согласие разработчиков, при этом большинство отечественных организаций весьма редко предусматривают данную возможность в договоре, что создает в будущем объективные трудности.

Как мы уже говорили, вопрос о том, кто будет проводить проверку, остается одним из главных. Не всегда известное имя аудиторской компании является залогом ее безупречной работы. Нужно выбрать именно тех специалистов, которым компания-клиент сможет доверять. При этом ориентироваться следует на ценные знания и большой опыт аудиторов, а не на вопрос самой низкой цены, например.

Аудит ITSM процессов

В ряде случаев предусматривает использование собственных методик, основанных на ITIL, любо же модели вендоров, CobiT и т.п. Как правило, этот вид диагностики проводится с целью определения и обоснования дальнейшего развития информационной структуры предприятия и ликвидации найденных ошибок, либо же как плановая процедура. Часто осуществляется после смены руководителей компаний или в случае управленческого кризиса.

Каждый проект внедрения ITSM является чрезвычайно сложным. Иногда аудиторы обнаруживают лишь кое-как функционирующую службу поддержки, работающую на сверхдорогом ПО, и чересчур усложненные инструкции, созданные теоретиками, не имеющими достаточного представления о реальном функционировании информационной системы.

Аудит ITSM процессов на основе формальной модели необходим как периодически проводимая запланированная процедура при планомерном развитии проекта в течение нескольких лет. Внедрение ITSM – всегда сложная задача, при реализации которой огромную роль играет отлаженное взаимодействие с менеджментом предприятия и верная мотивация штатных ИТ специалистов, поскольку данные факторы влияют на успешность проекта почти на две трети. Формальные же подходы к диагностике без использования концепции ITSM имеют мало смысла, поскольку результат такой проверки можно предвидеть еще до ее окончания.

Нестандартные способы проведения проверки

Зачастую диагностику проводят не комплексно, а с целью решения определенных задач. Аудит ИТ проектов, имеющих большой масштаб, обычно подразумевает регулярные проверки, что приводит к увеличению стоимости проекта до 5-10%, но одновременно существенно понижает вероятность рисков. При этом превышение бюджета случается очень редко.

Иногда компании не хватает сведений для обоснования необходимости реализации крупного проекта или больших изменений в нем, поэтому обосновать диагностику становится проще, чем проект технико-экономического обоснования. К тому же аудитор сможет предоставить реальные данные и порекомендовать подходящий проект.

Обследование иногда проводят и для смены или дублирования поставщика услуг. В случае наличия большой команды ее быстрая замена становится трудной задачей, потому что может привести к резкому снижению производительности. Проведение же профессиональной проверки поможет новым специалистам подготовиться к выполнению своей работы, участвуя в проведении диагностики, повысив уровень их мотивации.

Также аудит может помочь снизить недовольство пользователей услугами в сфере ИТ, особенно, если ИТ руководитель имеет меньший авторитет в компании, чем топ-менеджеры. Оценка со стороны поможет предотвратить конфликт и подскажет пути оптимизации функционирования ИТ инфраструктуры предприятия.