В закладки

Законы автомобилистов

Присоединяйтесь Вконтакте
Главная Учет в ГИБДД Как оценить риски для бизнеса из-за с ИТ? Заказать аудит ИТ инфраструктуры в ALP Group? Ит аудит Аудит it систем.

Как оценить риски для бизнеса из-за с ИТ? Заказать аудит ИТ инфраструктуры в ALP Group? Ит аудит Аудит it систем.

Развитие информационных систем приносит компании очевидную пользу. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. IT-аудит позволяет выявить эти риски, оценить эффективность IT-системы и выбрать направления для ее совершенствования.

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности — вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

  • выбора неоптимального решения по автоматизации;
  • ошибок при проектировании;
  • нарушения расчетных сроков и бюджета проекта;
  • несоответствия между инфраструктурой и решениями по автоматизации;
  • технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
  • неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
  • неиспользование всего потенциала технологий;
  • невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
  • неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
  • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)

IT-процессы как ключевой объект аудита

Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

  • распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
  • наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
  • поддержание в полном и актуальном состоянии процессной документации на всех уровнях;
  • наличие и полнота механизмов измерения производительности и формирования внутренней отчетности для каждого IT-процесса, позволяющая руководству IT-службы оценивать степень достижения целевых показателей и, как следствие, принимать эффективные управленческие решения;
  • наличие процедур оперативного мониторинга текущей деятельности, обеспечивающих своевременную идентификацию операционных сбоев линейными менеджерами, например невыполнение сотрудниками штатных процедур;
  • наличие процедур информационного обмена между смежными IT-процессами;
  • методы и специальные инструменты, позволяющие повысить эффективность деятельности, например использования средств автоматизации для регистрации и учета обращений пользователей;
  • совершенствование деятельности на основе анализа текущей эффективности и планов развития информационных технологий.
Таблица 1

IT-процесс

Возможные признаки рисковой ситуации

Стратегическое планирование IT

На стадии стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии, что не позволяет в проактивном режиме оптимизировать работу IT-подразделения под фактические бизнес-требования.

Стратегическое планирование IT-деятельности выполняется по мере необходимости в ответ на конкретное требование бизнеса, и поэтому результаты являются эпизодичными и непоследовательными. Вопросы стратегического планирования иногда обсуждаются на встречах только на уровне руководства департамента IT, а не руководителей бизнес-подразделений. Настройка приложений и технологий под потребности бизнеса является реакцией на внешнее воздействие, например на предложения поставщиков, а не осуществляется на базе стратегии, разработанной в компании. Оценка стратегического риска не формализована и осуществляется от проекта до проекта.

Планирование IT-архитектуры

Не оптимизирована структура информационных систем, что повышает избыточность данных (дублирование) в корпоративной системе, а также снижает уровень совместимости систем и приложений.

Идет разрозненная разработка компонентов информационной структуры. Имеется частичная реализация схем данных, документации и правил синтаксиса данных. Определения относятся скорее к данным, чем к информации, и обусловлены предложениями поставщиков приложений. Разъяснение сотрудникам необходимости информационной архитектуры проводится хаотично и бессистемно.

Управление персоналом

Не оптимизирована политика в отношении найма и сохранения (мотивирования) квалифицированного персонала, что не позволяет обеспечивать максимальный вклад персонала в результат IT-деятельности.

Используется неформальный подход к найму и управлению персоналом, обусловленный скорее потребностями конкретных проектов, чем направлением развития технологии и продуманным соотношением предложений квалифицированных сотрудников внутри организации и на стороне. Осуществляется неформальное обучение новых сотрудников.

Управление проектами

Не оптимизированы подходы к управлению проектами, что приводит к невыполнению обязательств по срокам и стоимости работ. Решение об использовании методики и подходов к управлению проектами в области IT оставлено на усмотрение отдельных менеджеров.

Принципиальные решения по управлению проектами принимаются без управления пользователями и исходных данных клиента. Клиенты и пользователи не принимают участия в определении IT-проектов или их участие носит незначительный характер. IT-проекты плохо организованы: роли и обязанности участников, а также график выполнения проектов не определены, не отслеживаются трудозатраты.

Приобретение IT-инфраструктуры

Не оптимизирована и не стандартизирована деятельность по приобретению и обслуживанию инфраструктуры IT. При эксплуатации это приводит к снижению производительности систем и возникновению рисков безопасности в отношении данных и программ, хранящихся в системе.

Для каждого нового приложения в инфраструктуру вносятся изменения без какого-либо общего плана. Обслуживание организовывается как реакция на краткосрочные потребности. Средой для тестирования является производственная среда. Приобретение и обслуживание IT-инфраструктуры не базируется на какой-либо определенной стратегии и не учитывает потребности бизнес-приложений, которые необходимо поддерживать. Графики обслуживания не разработаны в полном объеме, и деятельность не координируется.

Управление услугами поставщиков

Не установлены четкие договорные отношения (соглашения) с поставщиками IT-услуг, включая определение ролей, ответственности и ожиданий, а также проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия, что повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Отсутствует формальная политика и порядок заключения договоров со сторонними организациями. Не осуществляется оценка деятельности сторонних организаций. Сторонние организации не предоставляют отчетность. В отсутствие обязательств о предоставлении отчетности высшее исполнительное руководство не владеет информацией о качестве предоставляемых услуг. Отсутствуют типовые условия договоров с поставщиками услуг. Оценка предоставляемых услуг осуществляется произвольно и фрагментарно. Методика зависит от индивидуального опыта отдельно взятого лица и от поставщика (например, по запросу).

Управление непрерывностью

Отсутствует формализованный подход к созданию (поддержанию и тестированию) планов обеспечения непрерывности IT-деятельности (в том числе планов резервного хранения данных), что делает в случае наступления чрезвычайной ситуации высоковероятным возникновение значительных перерывов в предоставлении IT-услуг по ключевым направлениям и процессам бизнеса.

Реакции на крупные нарушения заранее не продуманы и не подготовлены. Практикуются плановые отключения системы для обеспечения нужд IT-обслуживания без учета выполнения требований бизнеса. Подходы, применяемые к обеспечению непрерывности предоставления услуг, характеризуются неполнотой и фрагментарностью. Поступающая информация относительно доступности системы не учитывает состояние бизнеса. Нет документального обеспечения в отношении действий пользователя или в отношении обеспечения непрерывной работы.

Источник: каталог рисков, разработанный компанией «ИТ эксперт»

Открытые стандарты

CobiT (Control Objectives for Information and related Technology) — международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) — стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology - Service management) — стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой — нацеленный на IT-услуги — аналог ISO 9001:2000.

Этапы аудита

На предварительном этапе аудита — этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

  • предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;
  • согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;
  • формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки. Если заказчиком IT-аудита выступают представители руководства компании, то для получения более точного результата рекомендуется формировать анкеты в бизнес-терминах (табл. 2). С учетом временных и ресурсных параметров проведения аудита определяются границы аудита (сервисы, системы, подразделения и т.п.). При этом рекомендуется рассматривать наиболее значимые для целей бизнеса и/или распространенные сервисы и системы, чтобы иметь возможность на основе оценки определенной (ключевой) области аудита сделать объективные выводы о системе IT-управления в целом.

Таблица 2. Выдержка из анкеты для проведения интервью с руководством компании и ключевыми пользователями

Описание IT-риска (из каталога рисков компании «ИТ Эксперт»)

Оценка важности управления IT-риском

Выбранный вариант отметить

На этапе стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии Последствия:

  • несвоевременное реагирование IT-службы на бизнес-инициативы (открытие новых офисов, автоматизация бизнес-процессов);
  • увеличение финансовых затрат на перевод бизнес-инициатив в конкретные IT-решения (неоптимальные и ошибочные решения, принимаемые IT в спешном порядке)

Риск несущественный

Пояснения к интервью: риск носит гипотетический характер и малозначим для деятельности компании (затраты на управление риском будут выше, чем полученный эффект)

Риск умеренный (приемлемый)

Пояснения к интервью: признается важность управления указанным риском в стратегической перспективе (на данном этапе допускается предварительная проработка вопроса, не требующая привлечения финансовых инвестиций и затраты существенных временных ресурсов бизнес-руководителей)

Риск выше среднего

Пояснения к интервью: признается важность управления указанным риском (в том числе выделение временных и финансовых ресурсов) уже в краткосрочной перспективе

Риск высокий

Пояснения к интервью: допускается, что реализация данного риска не только возможна в краткосрочной перспективе, но и уже происходила

Дополнительный параметр оценки

Признается необходимость совместного участия IT и бизнеса в управлении данным риском

Комментарии и пояснения:

С учетом полученной информации аудитор формирует анкеты, в которых указывает параметры аудиторских процедур по каждому IT-процессу, в том числе наименование детализированных целей контроля и примерное количество уточняющих вопросов. Чтобы оценка системы IT-управления была всесторонней, формируется иерархия вопросов от частных до высокоуровневых. Для анализа оценки уровня зрелости IT-процессов рассматриваются частные вопросы, сгруппированные в детализированные цели контроля. При этом учитывается полнота и достоверность предоставленных аудиторам данных и свидетельств.

Для примера приведем структуру анкеты для оценки IT-процесса «Управление услугами подрядчиков»:

Риски недостижения целей процесса:

  • отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Влияние на достижение целей

IT-деятельности:

  • обеспечение результативности IT-деятельности — умеренное влияние;
  • обеспечение рациональности IT-деятельности — высокое влияние;
  • обеспечение безопасности IT-деятельности — высокое влияние.

Детализированные цели контроля:

  • определение политик процесса и процедур деятельности;
  • распределение ролей;
  • менеджмент документов;
  • анализ контрактов;
  • управление договорными разногласиями;
  • передача прав;
  • ответственность и подотчетность;
  • инструментарий;
  • охват процесса;
  • отчетность и метрики. Следующий этап — аудит на месте («II» на рис. 1), в рамках которого проводятся интервью с сотрудниками компании-заказчика и верифицируются их результаты (табл. 3). На этом этапе рекомендуется решать следующие задачи:
  • провести процедуры самооценки с использованием разработанных ранее анкет;
  • провести интервьюирование ключевых сотрудников объекта аудита для уточнения результатов самооценки;
Таблица 3. Фрагмент анкеты для самооценки процесса «управление конфигурациями»

Критерии аудита

Самооценка

или да/нет

Положение о подразделении содержит указание на задачи, связанные с управлением конфигурациями

В должностные инструкции сотрудников, отвечающих за управление конфигурациями, включены соответствующие записи

Определен и адекватен охват CMDB (конфигурационной базы данных): серверы, ПЭВМ, СУБД, ПО, ЛВС

Определена и адекватна степень детализации атрибутов конфигурационной единицы (наименование, тип, место, владелец, инвентарный номер, статус, документация, лицензии и др.)

Регистрируются взаимоотношения (взаимосвязи) между конфигурационными единицами на физическом и логическом уровне

Применяется порядок регистрации базисной конфигурации

Определены и выполняются процедуры контроля над добавлением конфигурационной единицы

Определены инициирующие события и периодичность проведения аудита CMDB (проверки того, насколько точно отражена текущая ситуация в CMDB)

Применяются инструментальные средства аудита, которые могут автоматически выполнять анализ рабочих станций и формировать отчеты о текущей ситуации и статусе IT-инфраструктуры
  • провести верификацию результатов интервью и самооценки в рамках процедур наблюдения за деятельностью и детализированного тестирования предоставленных свидетельств (в том числе регламентов, положений, отчетов, записей о событиях и т.п.)

Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:

  • 0 — деятельность не осуществляется и не признается необходимой;
  • 1 — деятельность не осуществляется, но признается необходимой;
  • 2 — деятельность осуществляется фрагментарно и имеет минимальный охват, подтвердить ее свидетельствами невозможно, вероятные отклонения выявить сложно;
  • 3 — деятельность осуществляется на периодической основе, однако имеет небольшой охват и может быть подтверждена свидетельствами только в отдельных случаях или посредством демонстрации в режиме «наблюдения за деятельностью»;
  • 4 — деятельность осуществляется на постоянной основе. Охват процесса находится на удовлетворительном уровне и запланирован к увеличению, в большинстве случаев имеются документальные свидетельства деятельности;
  • 5 — деятельность осуществляется на постоянной основе, имеет полный охват, имеются свидетельства в электронном и бумажном виде, которые пригодны как для внутреннего контроля, так и для аудита. При выставлении оценки необходимо учитывать адекватность документарных свидетельств (аудиторский след), на основании которых можно дать заключение по оцениваемой деятельности. К этой группе документов относятся, например, реестры и описи, регистрационные журналы, протоколы, листы ознакомления, акты и/или отчеты, свидетельствующие о выполнении работы (наряда).

Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.

Отсутствие инцидентов — сигнал об опасности

В качестве примера рекомендаций по проведению верификации по конкретному вопросу — «Реагирование на инциденты информационной безопасности» — может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает. Поэтому процедуры сообщения о случаях нарушения безопасности, инцидент-reporting процедуры, должны быть предусмотрены независимо от того, происходили ли в прошлом какие-либо инциденты или не происходили. Необходимо проверять, имеется ли в данной организации ясное определение понятия «случай нарушения безопасности (инцидент)», и понимают ли его сотрудники, занимающие ответственные должности. Полезно задавать проверочные вопросы, например: «Если вы обнаружили, что ваш сейф с секретными материалами стоит открытый, а вокруг никого нет, то сочтете ли вы это случаем нарушения безопасности?», «Если служащий сообщил о том, что ему по ошибке выдали чужую зарплату, можно ли это считать случаем нарушения безопасности?»

Ключевой задачей аудитора на данном этапе является обеспечение транспарентности механизма формирования итоговых выводов как основного условия доверия к результатам аудита. Все заинтересованные стороны должны иметь возможность отследить причинно-следственную связь в цепочке преобразования результатов аудита от частных к итоговым оценкам. Остановимся на наиболее специфичных этапах преобразования оценок.

Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса (табл. 5). Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Таблица 5. Формула расчета итоговой оценки уровня зрелости

L = L1 + L2 + L3 + L4 + L5

Уровень зрелости по разделу

Наименование

K — вес раздела (сумма баллов равняется 5)

R(Tn) — базовая оценка от 0 до 1 по итогам анкетирования и верификации (фактическая сумма оценок/максимально возможная сумма оценок)

L1 = K × R(T1)

Компетенция

L2 = K × R(T2)

Деятельность

L3 = K × R(T3) × R(T2)

Документирование

L4 = K × R(T4) × R(T2)

Измерение

L5 = K × R(T5) × R(T2)

Совершенствование

Расчет, представленный на рис. 2, позволяет построить тренд уровня зрелости IT-процесса.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности. Длительность постпроверочного периода (времени между аудитами) на практике в большинстве случаев составляет от года до трех лет и определяется с учетом законодательных и нормативных требований по периодичности, а также принципа разумной достаточности — исследуется период, который представляет наибольший интерес для целей формирования прогнозов на будущее.

Расчет уровня IT-рисков

Речь идет об уровне риска после его обработки, например после применения контрмер, направленных на его снижение. В рамках данной процедуры аудитор составляет ранжированный перечень выявленных рисков и сопоставляет базовый уровень риска с уровнем зрелости IT-процесса, отвечающего за управление данным параметром (табл. 6). Допустимым считается остаточный риск (S) 6 и менее. Умеренным — от 7 до 11. Высоким — от 12 до 16. Критическим — от 17 до 25.

Подводя итоги

Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент (рис. 3). Помимо стандартных рекомендаций по устранению выявленных в ходе аудита несоответствий (замечаний), результаты аудита могут быть использованы для разработки ключевых рекомендаций по тактике и стратегии совершенствования системы IT-управления в целом и отдельных IT-процессов, а также для формирования методической основы систем внутреннего контроля и аудита за информационными технологиями организации. Применение рассмотренной выше методики аудита позволяет компании взглянуть на свою систему IT-управления через призму международных стандартов и практического опыта и, как следствие, получить профессиональную экспертную оценку:

  • степени ее соответствия требованиям стандартов, что может быть использовано для определения готовности организации к прохождению сертификационного аудита;
  • ее адекватности целям эффективного формирования добавочной ценности для бизнеса при использовании информационных технологий;
  • ее устойчивости при реализации различных сценариев, например, если рассматривается расширение бизнеса, то оценивается готовность службы IT масштабировать свою деятельность, если речь идет о масштабном переходе на новые информационные системы, анализируется готовность обеспечить надежный переход на новые системы в оптимальный срок, для изменения объемов финансирования оценивается степень адаптивности к соответствующим условиям. На основании проведенной работы вырабатываются рекомендации по стратегии развития управления подразделениями IT, в том числе конкретных процессов управления, предотвращению рисков, совершенствованию работы IT-подразделений и формированию системы внутреннего контроля. Таким образом, IT-аудит закладывает основу для эффективной работы компании в сфере, имеющей первоочередное значение для уровня ее конкурентоспособности, намечает план мероприятий, который остается только воплотить в жизнь. Все остальное уже будет зависеть от самой компании, а точнее, от ее готовности четко следовать выработанным рекомендациям.
Таблица 6. Оценка остаточного уровня IT-риска

Уровень неотъемлемого риска от 0 до 5 (экспертная оценка)

Влияние уровня зрелости IT-процесса (в рамках которого управляется риск) от 0 до 5

Оценка остаточного риска

S = 5 × R1 - L 2

Риск увеличения времени от начала разработки до готовности систем из-за отсутствия гибкой инфраструктуры

Риск увеличения времени простоя инфраструктуры

Риск увеличения проблем, связанных с производительностью работы приложений и вызванных несоответствиями в технологической инфраструктуре

Риск нехватки мощностей при внедрении новых IT-решений

Риск повышения затрат на IT-инфраструктуру вследствие создания необоснованных резервов «про запас»

Программа «IT Audit: Аудитор»

Программа «IT Audit : Аудитор» представляет собой конструктор для разработки методики проведения аудита, предлагая аудиторам гибкий инструмент для помощи в проведении аудита. Программа «IT Audit : Аудитор» обеспечивает автоматизацию деятельности аудиторской фирмы, связанной с проведением аудиторских проверок хозяйствующих субъектов.

Программа «IT Audit : Аудитор» разрабатывалась с учетом требований международных стандартов аудиторской деятельности (постановление Правительства РФ от 23 сентября 2002 г. № 696).

При проведении аудита небольшого предприятия (период проверки - 5 дней) применение программы «IT Audit : Аудитор» позволяет качественно спланировать, провести и запротоколировать выполненные аудиторские процедуры и результат проверки; при проведении аудита на среднем и крупном предприятии - сократить время на проведение аудита на 10-30%.

Программа обеспечивает:

1) ведение справочников по методологии аудита;

2) ведение учета клиентов;

3) ведение общений с клиентами;

4) учет заключенных договоров;

5) импорт данных бухгалтерского учета клиентов;

6) планирование аудиторских проверок;

7) формирование аудиторских проверок;

8) составление плана аудита;

9) составление программы аудита;

10) описание хозяйственных операций клиента;

11) расчет уровня существенности;

12) проведение выборки и анализ результатов;

13) форум аудиторов (общение аудиторов);

14) формирование сводной информации о найденных нарушениях;

15) формирование альтернативной отчетности;

16) контроль качества аудита Ковалева О.В. Аудит. Учебное пособие / Под ред. О.В. Ковалевой, Ю.П. Константинова. - М.: ПРИОР, 2008. - с. 128..

Программа «IT Audit : Аудитор» позволяет систематизировать информацию по клиентам аудиторской фирмы (число не ограничено), хранить информацию о реквизитах клиента, фактическом и юридическом адресе, контактных лицах, переговорах с клиентом, заключенных договорах, ответственных за работу с клиентом лицах и др. Программа допускает сортировку клиентов по различным характеризующим их параметрам.

Сведения о клиентах хранятся в соответствующем Справочнике клиентов . В Справочник клиентов также заносится информация о сотрудниках проверяемой организации.

Информация о заключенных с клиентом договорах также может быть занесена в информационную базу системы.

В программе значительное место уделено методологическому сопровождению аудита, причем сопровождение может осуществляться как разработчиками, так и самой аудиторской фирмой.

В состав программы «IT Audit : Аудитор» включены следующие справочники:

1) объекты аудита (разделы аудита);

2) аудиторские процедуры;

3) потенциальные нарушения;

4) типовые операции.

Программа позволяет установить взаимосвязь между аудиторскими процедурами и нарушениями, объектами (задачами) аудита и аудиторскими процедурами. Взаимосвязь устанавливается с использованием справочников.

Справочник объектов (разделов) аудита является основным, а справочники аудиторских процедур, потенциальных нарушений и типовых хозяйственных операций - подчиненными.

Справочник «Аудиторские процедуры» используется при формировании программы аудита и содержит шаблоны рабочих документов аудитора, заполняемые при проведении аудита. Значительная часть рабочих документов может быть заполнена автоматическими данными бухгалтерского учета клиента. С использованием данного справочника может быть установлена базовая трудоемкость выполнения соответствующей аудиторской процедуры. Аудиторская процедура - определенный порядок и последовательность действий аудитора для получения необходимых аудиторских доказательств на конкретном участке аудита (объекте аудита).

Справочник «Потенциальные нарушения» содержит наименование и описание потенциального нарушения. При выявлении нарушений на аудируемом предприятии справочник используется при формировании отчета аудитора.

Необходимо рассмотреть, как в программе реализуются основные требования федеральных законов.

Правило (стандарт) №2 «Документирование аудита».

Программа «IT Audit : Аудитор» дает аудитору широкие возможности по документальному закреплению полученных при проведении аудита доказательств, формированию необходимых рабочих документов с целью выполнения федеральных правил (стандартов) аудиторской деятельности, обеспечению хранения и резервного копирования, просмотра и вывода на печать.

Приведенные требования стандарта выполняются программой в результате заполнения форм: «Планирование аудита», «План аудита», «Программа аудита», «Задание на аудит», «Описание хозяйственных операций клиента».

Полученная при проведении аудита информация хранится в разделах:

1) общая информация по клиенту;

2) информация, относящаяся к заключенному договору;

3) информация, относящаяся к периоду, за который будет сформировано заключение аудитора;

4) информация, относящаяся к конкретному периоду проведения аудита.

Программа предусматривает разграничение права доступа к информации в разрезе клиентов, обеспечивая надежное хранение информации по клиенту и этапам проведения аудита.

Правило (стандарт) №3 «Планирование аудита».

В программе «IT Audit : Аудитор» проводится планирование аудита с целью его эффективного проведения в программе аудита и форме «Описание хозяйственных операций».

Сформировать детальный план аудита можно в программе аудита, где учитываются применяемые аудиторские процедуры, их распределение мжду сотрудниками и очередность выполнения, устанавливаются плановая и фактическая трудоемкость выполнения аудиторских процедур, описание процедур контроля хода проведения аудита. При этом допускается внесение изменений в течение всего времени проведения аудита.

Правило (стандарт) №4 «Существенность в аудите».

Программа «IT Audit : Аудитор» позволяет выполнять расчет существенности несколькими способами: в целом по отчетности, распределять по счетам бухгалтерского учета в разрезе существенности:

1) по дебету счета;

2) дебетовому обороту счета;

3) кредитовому обороту счета;

4) кредиту счета.

Выбор аудиторских процедур производится в формах «Программа аудита» и «Описание хозяйственных операций». Совокупность неисправленных искажений обобщается в форме «Альтернативная отчетность».

Правило (стандарт) №7 «Внутренний контроль качества аудита».

Руководителю проверки предоставлена возможность текущего контроля хода проведения аудита, формирования задания и замечаний в формах «Описание хозяйственных операций», «Программа аудита», «Общение аудиторов».

В формах «Описание хозяйственных операций», «Программа аудита», «Общение аудиторов» имеется возможность детального описания действий аудиторов и их ассистентов при выполнении порученной работы, а также прикрепления подлежащих заполнению рабочих документов.

В настоящее время ведется работа по включению в программу новых правил (стандартов).

В форме «Проведение выборочного исследования» аудитор на основе проверяемой (генеральной) совокупности может отбирать элементы, превышающие уровень существенности, ключевые элементы и формировать выборочную совокупность различными способами.

Аудитору также предоставлена возможность анализировать хозяйственные операции клиента, представленные в форме «Описание хозяйственных операций», устанавливать способы проверки операций (сплошная проверка, выборочная проверка, непроведение проверки, подтверждение низкого уровня риска).

Встроенные в программу «IT Audit : Аудитор» средства фильтрации (отбора) данных бухгалтерского учета позволяют выполнять стратификацию данных по любым критериям с возможностью последующей выгрузки данных для выборочного исследования или заполнения рабочего документа аудитора.

Программа позволяет аудитору произвести экстраполяцию выявленных при проведении аудита ошибок на всю генеральную совокупность.

Преимущества применения программы по автоматизации аудита :

· программа продается и сопровождается непосредственно разработчиками (без посредников), что позволяет сократить расходы покупателя на приобретение программы и ее последующее сопровождение;

· охватывает все аспекты аудиторского бизнеса (занятость сотрудников, организация договорной работы, учет клиентов, планирование аудита, работа в «поле» и т.д.);

· позволяет систематизировать всю информацию по результатам аудиторской проверки, возможность архивации и последующего доступа к данным;

· широко используется сотнями аудиторских фирм (от компаний, входящих в первую десятку, до небольших аудиторских компаний и индивидуальных аудиторов);

· является конструктором и позволяет пользователям самостоятельно настраивать методологию аудиторской проверки;

· содержит значительное количество шаблонов рабочих документов аудитора;

· обеспечивает удобные средства загрузки в программу по автоматизации аудита данных бухгалтерского учета из наиболее распространенных бухгалтерских программ: 1С Предприятие 7.7 (8.1) и т.д.

· позволяет автоматически заполнять рабочие документы аудитора данными бухгалтерского учета;

· содержит шаблоны потенциальных нарушений, а также инструменты для ее самостоятельного наполнения пользователями;

· предусмотрены различные способы статистического выборочного исследования: собственно-случайный (повторный и бесповторный), механический (систематический), монетарный собственно-случайный (повторный и бесповторный) способ;

· производится автоматическое формирование постоянного (переменного) файла по результатам аудиторской проверки;

· имеет интуитивно понятный интерфейс, большой объем разработанной документации на программу и учебные материалы (Flash-ролики), что позволяет быстро приступить к работе Ковалева О.В. Аудит. Учебное пособие / Под ред. О.В. Ковалевой, Ю.П. Константинова. - М.: ПРИОР, 2008. - с. 135..

Применение программы по автоматизации аудита обеспечивает:

· систематизацию методологической работы;

· организацию эффективного планирования аудита;

· повышение качества проведения аудита;

· повышение оперативного и последующего контроля за ходом проведения аудита;

· снижение трудоемкости проведения аудита;

· выполнение стандартов аудиторской деятельности;

· повышение управляемости компании;

· разграничение прав доступа к материалам аудиторских проверок;

· систематизацию и архивирование информации.

Зачем нужен ИТ аудит

  • Понять состояние ИТ инфраструктуры.
  • Собрать перечень сервисов.
  • Узнать о сервисах, работающих со сбоями.
  • Получить рекомендации по инфраструктуре.
  • Узнать, как снизить стоимость использования ИТ.
  • Оценить уровень нашей компетенции.

Аутсорсинговые компании начинают практическое знакомство с потенциальными клиентами с ИТ аудита. Мы не исключение.

ИТ аудит - процедура, помогающая клиенту понять профессиональную пригодность ИТ специалистов нашей компании обслуживать инфраструктуру.

АВИ Консалт с радостью проведет предпроектное исследование ИТ инфраструктуры, чтобы помочь понять текущую ситуацию, спланировать дальнейшие шаги по развитию и оптимизации сети, а также познакомиться с нашей командой. Если захотите сотрудничать, мы сделаем работу техники отказоустойчивой. Следовательно, убережем от неприятных неожиданностей, связанных с остановкой работы критических сервисов.

Ниже перечислим виды аудита, и дадим полезные советы по выбору обслуживающей компании.

Коммуникативные навыки, живость ума, уровень процессного подхода, качество документации - на это заказчик будет смотреть испытующим взглядом, чтобы решить, готов ли доверить дорогостоящее оборудование и критичные сервисы незнакомым людям.

Нередко клиент принимает решение уже в первые пятнадцать минут общения, т.к. основывается на сравнении уровня специалиста, который перед ним, с теми, которых встречал раньше. Закономерно, что это первое впечатление обманчиво, в силу нескольких нижеуказанных причин.

  • Клиенту в прошлом попадались специалисты высокой квалификации, к которым руководитель привык, и испытывал доверие. Но это не значит, что не удастся найти такую же команду, если лучше познакомиться с новичками и оценить их способности.
  • Субъективность оценки, вызванная личной симпатией. Приятный психологический портрет исполнителя при встрече не всегда показывает профессионализм остальных сотрудников компании в работе.
  • Красноречивый сотрудник отдела продаж убеждает неискушенного заказчика подписать контракт. При этом качество услуг отличается от качества продаж в худшую сторону.
  • Сниженная цена соблазнительна. Но нужно не забыть проверить, какой состав услуг при этом продается.

Для этого заказчик должен понимать, из каких этапов и процедур состоит процесс ИТ аудита, и что получится на выходе. Тогда просто посмотрев на то, как новоявленные специалисты выполняют аудит, делается вывод, стоит ли доверять сторонней компании функции жизнеобеспечения.

Для полного понимания скажем, что ИТ аудит - сложный процесс, который подразделяется на много видов, и в зависимости от контекста применения выглядит каждый раз иначе. Сузим обсуждение, и оставим для рассмотрения пример, когда клиент заказывает аудит у сторонней компании.

Аудит на верхнем уровне сводится к простой формуле:

  • Сбор информации (интервьюирование, анкетирование, документирование).
  • Непосредственный анализ (обследование оборудования, ПО, анализ процессов).
  • Подготовка рекомендаций.
  • Составление отчета.

Каждый из этапов, в зависимости от ситуации, или сложившейся практики, реализуют разными способами. Но в большинстве случаев присутствуют все этапы, вне зависимости от вида аудита. Рассмотрим варианты внешнего аудита, которые часто встречаются в нашей сегодняшней действительности.

Экспресс ИТ аудит

Это наиболее распространенный на российском рынке вариант ИТ аудита. Проводится аутсорсинговыми компаниями перед принятием на обслуживание компьютерной техники у малого и среднего бизнеса. Инициатором выступает владелец или топ менеджер компании, который для оценки предстоящих ежемесячных расходов устраивает своеобразный тендер. В ходе такого аудита заказчик оценивает квалификацию исполнителя, и может в режиме онлайн принять окончательное решение. Критерии выбора - стоимость, названная исполнителем, и уровень продемонстрированных навыков.

Такой аудит характерен отсутствием документации, общение происходит на словах, продолжительность составляет от одного до нескольких часов. Как и любой аудит, экспресс вариант состоит из обязательных этапов, отсутствие которых озадачивает заказчика, и вызывает сомнения в компетентности аудиторов. Первым делом технические специалисты со стороны исполнителя выясняют, «как все устроено», т.е. составляют перечень сервисов, узнают о работающих со сбоями. Затем исполнитель приступает к непосредственному осмотру техники, серверного, сетевого оборудования, рабочих станций. Плюс экспресс аудита - скорость выполнения. Заказчик уже через считанные минуты получает рекомендации по инфраструктуре, и далее оценивает, насколько эти рекомендации адекватны. Специалист обратит внимание на критичные потенциальные риски и проблемы безопасности.

Наиболее распространенные проблемы в сегменте малого и среднего бизнеса:

  • антивирусная безопасность;
  • безопасность систем банк-клиент (интернет-банкинга);
  • резервирование оборудования;
  • административный доступ пользователей.

Если знаете об этих проблемах, но в результате экспресс аудита специалисты не акцентировали на них внимание, то появляется причина насторожиться. Профессионал дает потенциальному клиенту рекомендации по оптимизации инфраструктуры, и с них начинает разговор.

Отдельного упоминания требует соответствие инфраструктуры стандартам. У каждой обслуживающей компании они различаются, но, если их нет, это как минимум подозрительно. Стандарт включает в себя должный уровень безопасности и отказоустойчивости. Аутсорсинговые компании настаивают на приведении инфраструктуры к стандарту без дополнительной оплаты со стороны клиента.

Завершающим этапом аудита будет коммерческое предложение на постоянное обслуживание. Продвинутые компании предоставляют информацию о том, как рассчитывается стоимость обслуживания в разрезе сервисов и оборудования. Сегодня расчет стоимости абонентского обслуживания у многих компаний автоматизирован, и на сайтах присутствуют калькуляторы для приблизительного расчета. Заказчик может сравнить стоимость, рассчитанную на калькуляторе , с заявленной по результатам аудита. Также может оценить стоимость предложений различных компаний на виртуальном рынке. Если стоимость сильно отличается, запрашивают разъяснения от исполнителей.

Объективно ситуация возможна, но на то необходимы веские причины:

  • наличие специализированного ПО;
  • большое количество виртуальных машин;
  • особые условия предоставления сервиса.

Помимо предложения постоянно обслуживать клиента, хорошая компания по результатам аудита порекомендует также проект по оптимизации инфраструктуры, для устранения обнаруженных недостатков. Расскажем о маленькой хитрости, уменьшающей стоимость ежемесячного обслуживания. В компаниях малого и среднего бизнеса обслуживать ИТ поручают студентам, привлекают знакомых и друзей владельца или администратора, когда еще не решено перейти к ИТ аутсорсингу. Инфраструктура, которая получилась в результате таких действий, не экономная в дальнейшем. Стоимость использования отягощает бюджет компании. Но бизнес хочет сократить издержки, в том числе на обслуживание ИТ. Перед подписанием договора на абонентское обслуживание, или в первые месяцы сотрудничества заказывают у ИТ компании разработку проекта по оптимизации инфраструктуры, нацеленный на удешевление ежемесячных ИТ услуг. Уже через год обслуживания получают серьезную экономию на стоимости абонентских услуг, которая наверняка окупит издержки на реализацию проекта.

Целевой ИТ аудит

Даже у солидной фирмы со временем возникает неразрешимая проблема. И когда никто из сотрудников не справляется с задачей, приходит время обратиться к аутсорсинговой или ИТ компании. Целевой аудит характерен тем, что помогает решать локализованные проблемы или конкретные задачи. Т.е. если происходит поломка или хроническая проблема, с которой хотите разобраться раз и навсегда с полным пониманием причин, последствий, вариантов решений, то заказывают целевой ИТ аудит. Сфер применения этого варианта аудита великое множество. Ниже перечислены те немногие, которые применимы на ИТ рынке сегодня.

  • Обновление оборудования (апгрейд железа).
  • Оптимизация работы сервисов.
  • Производительность офисного программного обеспечения, информационных систем, баз данных.
  • Аудит лицензий.
  • Мониторинг отказоустойчивости.
  • Системная интеграция.
  • Улучшение работы ИТ подразделения.
  • Внедрение информационных систем.
  • Автоматизация бизнес процессов.

Преимущество целевого аудита - низкая стоимость проведения по сравнению с полным аудитом. При этом клиент платит за решение проблемы, не за выявление, как в случае экспресс аудита. Компания заказчик получает комплексное решение, обширные консультации, и документацию по решенной проблеме. Клиент работает самостоятельно при повторном возникновении аналогичных неполадок.

Важный момент целевого аудита - полная документированность процедуры. В крупных проектах составляют план мероприятий со сроками, этапами, указанием лиц, отвечающих за выполнение. Исполнитель опрашивает представителей заказчика, что тоже документируется и прилагается к результатам.

Затем начинается этап непосредственного анализа. Здесь исполнитель применяет специальные знания, которые нелегко формализуются, требуют интеллектуального подхода. Высокий уровень формализации свидетельствует о серьезности подхода ИТ компании. Если исполнители не первый раз работают в предметной области, у них под рукой подробные списки возможных рисков, наборы стандартов (собственные, российские или международные) для выявления отклонений, чек листы и протоколы для фиксации показателей.

Сегодня ИТ аудит выполняют, не вставая из-за стола, за считанные часы, клиент не знает, сколько человек причастно к аудиту, и где люди физически живут. Чтобы заказчик получил подробности по аудиту, запрашивают операционную документацию или дистанционную консультацию. Рекомендации и отчет, конечно же, необходимые составляющие целевого аудита, т.к. представляют конечный результат для заказчика. Отчет оформляют документально, на бумажных и цифровых носителях информации, по нему заказчик судит о качестве аудита. Если в отчете слабо акцентирована цель аудита, исполнитель применил сомнительный аналитический инструментарий, отсутствуют рекомендации, выводы не коррелируют с аналитическим разделом или не мотивированы, то у потребителя такого продукта возникнут резонные сомнения в ценности приобретения.

Полный ИТ аудит

Еще называется комплексным. Это дорогостоящий вариант аудита, который чаще заказывают представители среднего и крупного бизнеса. Применяется как часть полного аудита компании, или с целью внесения изменений в работу отдельного ИТ подразделения. В силу того, что процесс многосторонний и сложный, качество проведения полного аудита гарантировано только при следовании наработанным международным практикам и действующим стандартам.

Признанный авторитет в области стандартизации проведения ИТ аудита - международная Ассоциация по аудиту и контролю информационных систем (ISACA), которая выпустила исчерпывающие и современные публикации по проведению ИТ аудита «IT Assurance Framework» и «Cobit 5 for Assurance». Следование стандартам и профессиональный менеджмент послужат залогом успеха аудита.

Рассмотрим направления, на которые распространяется комплексный ИТ аудит:

  • информационные системы;
  • технологическая инфраструктура;
  • ИТ-подразделение.

На выходе руководство компании получает информацию о том, насколько ИТ инфраструктура соответствует стандартам (критериям), какие риски присутствуют, а также рекомендации по устранению недостатков.

Начните с первоначального бесплатного ИТ аудита!

ИТ аудит - это изучение и оценка IT инфраструктуры компании и ее отдельных частей. С помощью аудита можно понять текущую ситуацию, а также спланировать дальнейшие шаги по развитию и оптимизации сети. Это сложный процесс, состоящий из множества этапов и адаптированный к каждому конкретному предприятию. При этом каждый из этапов может быть реализован разными способами.

Экспресс аудит

Экспресс-аудит - это наиболее распространенный вид IT аудита. Обычно он проводится перед тем, как взять компанию на обслуживание. Такой аудит состоит из нескольких этапов:

  • сбор информации: опрос руководителя и сотрудников, изучение сервисов и т. д.;
  • осмотр техники, серверов, сетевого оборудования и рабочих станций.

Главное достоинства экспресс-аудита - это скорость. Информацию по состоянию IT инфраструктуры компании и рекомендации по ее модернизации можно получить буквально за считанные минуты. К наиболее распространенным проблемам малого и среднего бизнеса относятся:

  • резервное копирование;
  • антивирусная безопасность;
  • безопасность интернет-банка;
  • резервирование оборудования;
  • доступ пользователей к сети.

Особое внимание при проведении аудита уделяется приведению инфраструктуры в соответствие стандартам, которые включают в себя должный уровень безопасности и отказоустойчивости. Завершающим этапом ИТ аудита становится отчет по результатам проверки.

Целевой IT аудит компьютерной сети

Целевой ИТ аудит проводится для решения конкретных задач и локальных проблем. Ситуаций, когда стоит заказать целевой аудит ИТ, довольно много, среди них:

  • апгрейд оборудования;
  • оптимизация функционирования сервисов;
  • выявление и устранение проблем безопасности;
  • улучшение работы отдела IT;
  • внедрение новых информационных систем;
  • автоматизация бизнес-процессов.

Стоимость целевого исследования компьютерной системы ниже, чем полного. При этом проблема не только выявляется, но и решается. Заказчик получает консультации и комплексные рекомендации, зафиксированные документально, что поможет ему в следующий раз устранить неполадки самостоятельно.

Главное достоинство целевого исследования ИТ инфраструктуры предприятия - это полная документированность процесса, то есть составляется план мероприятий, где указаны сроки, этапы и ответственные лица. Все выявленные проблемы и результаты исследования заносятся в отчет. Он может быть выполнен на цифровом или бумажном носителе.

Полное исследование сети

Комплексное исследование компьютерной сети обычно является частью полной проверки компании. Его целью является внесение изменений в работу отдела ИТ. Комплексная проверка инфраструктуры предприятия - это сложный многоступенчатый процесс, результат которого зависит от следования наработанным международным стандартам. Аудиту подлежат следующие направления:

  • информационные системы;
  • информационная безопасность;
  • отдел ИТ;
  • технологическая инфраструктура предприятия.

Результатом комплексной проверки системы является отчет, в котором содержится информация о том, насколько сеть соответствует стандартам, какие выявлены проблемы, и способы по их устранению.

Результат исследования систем

По результатам исследований системы заказчик получает отчет о текущем состоянии ИТ сетей и предложение по улучшению их работы.

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

  • осуществляют оценку рисков ИТ;
  • содействуют предотвращению и смягчению сбоев ИС;
  • участвуют в управлении рисками ИТ;
  • помогают подготавливать нормативные документы;
  • помогают связать бизнес-риски и средства автоматизированного контроля;
  • осуществляют проведение периодических проверок;
  • содействуют ИТ-менеджерам в правильной организации управления ИТ;
  • осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.

Виды услуг по аудиту ИТ на российском рынке

На Российском рынке в настоящее время можно выделить 6 видов услуг по аудиту ИТ:

  • Обследование ИТ.
  • Экспертная оценка ИТ.
  • Технический аудит ИТ.
  • Аудит ИТ бизнес-процесса.
  • Аудит критерия ИТ.
  • Комплексный аудит ИТ.

Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация - сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

  • оценка ИТ-проектов или проектных решений;
  • оценка обоснованности инвестиций в ИТ;
  • оценка стоимости ИТ-составляющей компании;
  • оценка текущих ИТ-проектов;
  • оценка возможности перепрофилирования ИТ-инфраструктуры;
  • оценка организации эксплуатации ИТ;
  • оценка подготовки пользователей.

Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

  • определение ответственного за процесс;
  • определение пользователей и участников бизнес-процесса;
  • выявление применяемого оборудования и программ;
  • оценка действий обслуживающего персонала и пользователей;
  • анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Стандарты ИТ-аудита

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.

Основные этапы проведения аудита

В обобщенном виде ИТ-аудит проводится в два этапа:

  • этап "Планирование ИТ-аудита".
  • этап "Проведение ИТ-аудита".

На этапе "Планирования ИТ-аудита":

  • Анализируются:
    • структура бизнес-процессов;
    • платформы и структура информационных систем, поддерживающих бизнес-процессы;
    • структура ролей и распределения ответственности, включая аутсорсинг;
    • бизнес-риски и бизнес-стратегия.
  • Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
  • Идентифицируются ИТ-риски.
  • Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
  • На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:

  • Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
  • Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
  • Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
  • Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

Результаты проведения ИТ-аудита

Результаты ИТ-аудита компании классифицируются на три группы:

  • Организационные – планирование, управление, документооборот функционирования ИС.
  • Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д
  • Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие документы:

  • Основные документы:
  • Отчет о результатах ИТ-аудита компании.
  • Отчет о результатах аудита информационной безопасности компании.
  • Дополнительные документы (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):
  • Долгосрочный план развития ИТ/ИС;
  • Краткосрочный план развития ИТ/ИС;
  • Отчет о текущем состоянии ИТ/ИС.
  • Техническое задание на изменение ИТ/ИС
  • Методология работы и настройки (доводки) ИТ/ИС компании.
  • Концепция построения политики безопасности ИТ/ИС компании.
  • Политика безопасности ИТ/ИС компании.
  • План восстановления ИТ/ИС в чрезвычайной ситуации.
  • Порядок действий в случае нарушения защиты информации.
  • План-график проведения последующих ИТ-аудитов.

Результатные документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

Рекомендуем другие статьи

Как разорвать любовный треугольник и жить спокойно и свободно

Как разорвать любовный треугольник и жить спокойно и свободно

Салаты с капустой брокколи

Салаты с капустой брокколи