Врачебный такт не заменит правильного диагноза.
Альфред Слоун

Термины и определения

Аудит — наиболее лаконичным и верным по сути является трактовка Комитета Американской бухгалтерской ассоциации по основным концепциям учета: "Аудит — это системный процесс получения и оценки объективных данных об экономических действиях и событиях, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заинтересованным пользователям...".

В данном случае для осознания, что есть такое аудит ИТ, необходимо лишь изменить обозначенную в приведенном выше определении область применения, экономическую на интересующую нас сферу информационных технологий.

Таким образом, Аудит ИТ — системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям и предоставляющий результаты Заказчику.

Стандарт аудита — нормативно-технический документ (или эталон, модель, которая является отправной точкой), устанавливающий комплекс требований и правил к объекту аудита, квалификации исполнителей, организации аудита, методическим приемам анализа документации и представлению аудиторского заключения в предметной области и т.д.

Методика аудита — совокупность теоретических и практических способов проведения аудита, разработанные аудитором на базе стандартизированных правил и норм проведения аудита в предметной области, в определенной степени, на основе личного профессионального опыта.

Информационно-коммуникационные технологии (определение Информационного общества www.iis.ru) — совокупность методов, производственных процессов и программно-технических средств, интегрированных с целью сбора, обработки, хранения, распространения, отображения и использования информации в интересах ее пользователей.

Каждое предприятие осуществляет определенную деятельность, направленную на достижение своих стратегических целей и удовлетворение потребностей. Любую деятельность можно разбить на функционально законченные процессы (для коммерческих предприятий — бизнес процессы). В качестве ключевых обычно выделяют: производство, сбыт, продвижение продукции, управление и другие процессы, типичные для большинства предприятий.

Роль информационных технологий (ИТ) заключается в поддержке деятельности предприятия. ИТ должны обеспечить выработку правильного управленческого решения в каждой конкретной ситуации, т. е. в нужное время, в нужном месте и в нужном объеме дать достоверную информацию, необходимую для принятия управленческого решения.

Смежные технологии — смежные с ИТ сферы деятельности: инженерные системы (например, концепция интеллектуального здания, включающая в себя гарантированное электропитание, кондиционирование, водоснабжение и т.д.).

Технологии, не относящиеся к информации, но являющиеся критически важными для нее это пример, знакомый страховщикам, — выплата страховки за страховой случай, связанный с пожаром или затоплением серверной. На данный момент практически все компании, предлагающие комплексные ИТ решения обладают наряду с лицензиями на осуществление оценочной и аудиторской деятельности еще и лицензиями на строительство и проектирование зданий и сооружений. Что само иллюстрирует неразрывную связь между указанными технологиями.

Информационные системы (определение Информационного общества www.iis.ru) — организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Причины постановки управления и проведения аудита ИТ

Аудит ИТ проводят для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решения, управления ИТ.

Результаты аудита ИТ позволяют:

1.       Оценить соответствие ИТ требованиям бизнеса

·          Выявить недостатки и упущения;

·          Обосновать инвестиции в ИТ.

2.       Прогнозировать развитие ситуации

·          Эффективно планировать развитие ИТ-организации;

·          Понимать выгоды и риск при внесении изменений в информационную систему;

·          Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов).

3.       Принимать решения

·          Обоснованно решать проблемы безопасности и контроля;

·          Обоснованно приобретать или модернизировать аппаратно-программные средства;

·          О приобретении услуг (outsourcing);

·          Планировать повышение квалификации сотрудников ИТ-подразделений.

4.       Контролировать исполнение решений

·          Управлять ИТ составляющей проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей);

·          Контролировать стоимость владения ИС.

Результаты проведения аудита

Результаты аудита ИС организации можно разделить на три основных группы:

1.       Организационные — планирование, управление, документооборот функционирования ИС.

2.       Технические — сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.

3.       Методологические — подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный аудит позволит обоснованно создать следующие документы:

ü        Долгосрочный план развития ИС.

ü        Политика безопасности ИС организации.

ü        Методология работы и доводки ИС организации.

ü        План восстановления ИС в чрезвычайной ситуации.

Причины применения стандарта CobiT для управления и аудита ИТ

После проведения ИТ-аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:

1.       Оценить степень соответствия ИТ-организации требованиям бизнеса.

2.       Определить приоритеты основных ИТ-процессов.

3.       Выявить критически важные элементы ИТ.Выявить и оценить факторы риска.

4.       Определить степень адекватности мер, принимаемых для управления рисками.

5.       Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.

6.       Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.

7.       Создать план работ по устранению недостатков и разработать способы их устранения.

Кроме того, управление и аудит в соответствии со стандартом CobiT предоставляет организации следующие дополнительные преимущества:

1.       Возможность получения результата в сравнительно короткие сроки.

2.       Гарантия того, что при проведении аудита ничто не будет забыто: стандарт охватывает все уровни ИТ.

3.       После проведения "первичного" аудита производится наполнение информационной базы, что делает процессы проведения последующих проверок проще, легче и, как следствие, дешевле.

4.       CobiT как инструмент управления остается и внедряется в организации, автоматически переводя ее на уровень управления, сопоставимый, как минимум, со 2 уровнем модели зрелости CMM, несмотря на то, что достижение уровней зрелости не является прямой целью аудита — это специфические задачи бизнес-консалтинга.

Заключение

Перефразируя утверждение, что "у каждой бумаги должны быть ноги", можно сказать, что у каждого стандарта должна быть голова. Переосмысление и адаптация стандартов под нужды каждого конкретного Заказчика, будь то ИТ-руководитель, внешний или внутренний аудитор, либо консультант — это большая ежедневная работа.

Приложение

Предложение услуг по ИТ аудиту

на Российском рынке

На Российском рынке в настоящее время, в части предложения услуг по проведению ИТ-аудита, очень условно можно выделить следующие виды:

Обследование ИТ, частный случай это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. Основную роль здесь играет сбор и структуризация информации, анализ и оценка не производится.

Экспертная оценка ИТ — оценка ИТ-проектов (проектных решений), оценка правильности (обоснованности) инвестиций в ИТ, сколько стоит ИТ-составляющая организации, не только балансовая стоимость компьютеров и программ, но и долгосрочность примененных проектных решений, оценка текущих ИТ-проектов, возможность перепрофилирования существующей ИТ-инфраструктуры под решение качественно других задач, организация эксплуатации ИТ, подготовка пользователей.

Мы не говорим об возврате инвестиций, это тема отдельного исследования, мы говорим об оценки адекватности финансирования проектных решений, инвестиций в закупку оборудования и ИТ-услуг. Большинство современных компаний строят свой бизнес, взаимодействуют с клиентами и партнерами с широким применением информационных технологий. Однако существующие в настоящее время методики оценки предприятий сведены к экспертным заключениям о денежных потоках, материальных активах, финансовых показателях текущей деятельности и т.д., практически не учитывая совокупной стоимости и значимости для бизнеса информационных ресурсов предприятия.

Технический аудит ИТ — сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного элемента ИТ-инфраструктуры. Характерные особенности — малый масштаб работы ("железка" с ее входами-выходами) и узкая прикладная специализация исследования, можно сказать что это "штучная" работа, для каждого конкретного случая.

Аудит ИТ бизнес-процесса — Аудит информационных технологий, поддерживающих определенный (выделенный или заданный) бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для проведения подобного аудита необходимо определить ответственного за процесс, пользователей и участников, выявить применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы. На базе собранной информации построить модель, с указанием мест взаимодействия (стыка) с другими бизнес-процессами.

Аудит критерия ИТ — сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ: безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки мы говорим не только об отдельном элементе ИТ-инфраструктуры, но и обо всей совокупности программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой организации.

Комплексный аудит ИТ. Руководство должно знать и иметь возможность оценить все, что происходило и происходит в ИТ-организации, сравнить адекватность ИТ-потребностям бизнеса. Иначе говоря, прогнозировать развитие организации и соизмерять его с текущим состоянием и перспективами развития ИТ. В результате получается сложная многомерная матрица взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств их возможностей/ограничений и многого другого должна быть представлена в виде простого и понятного образа, при этом сохранив достоверность информации. Информации об успешной реализации таких проектов в России очень мало, потому что, прежде всего, это требует объединения ресурсов различных компаний и организации единой коллективной работы.