ИТ под контроль

Зачем?

Нередко ИТ для бизнеса являются «черным ящиком», заглянуть в который руководство компании пытается посредством ИТ-аудита. Это происходит, если:

• затраты на владение ИТ-комплексом организации слишком велики;

• есть проблемы с планированием бюджета на перспективное развитие ИТ;

• информационная система недостаточно функциональная;

• пользователи (менеджеры) не удовлетворены ИТ-решениями;

• поступает много жалоб на частые сбои и ограниченные возможности  ИС ;

• требуется повышение качества контроля над процессами цифровизации и автоматизации;

• необходима реорганизация ИТ-блока или смена владельца компании.

Учитывая то, что ИТ-аудит не регламентируется на законодательном уровне, как, например, финансовый аудит, его деятельность в большинстве случаев не попадает в сферу СМК , сформированную в соответствии с требованиями  ИСО 9001 . В то же время ИТ-аудит — это приоритетное направление развития внутреннего аудита.

ИТ-область охватывает сферы аппаратного и программного обеспечения, разнопланового технического сопровождения, процессы разработки, внедрения, сопровождения ИС и др. Сфера информационных технологий требует инфраструктурных и архитектурных решений, нуждается в управлении функциональностью, инцидентами, релизами и обращениями пользователей. Для этого нужны компетенций в области ИТ и знания различных нормативных требований.

Стандарты важны

Для управления ИТ-услугами существует ряд стандартов и рекомендаций, наиболее популярными из которых являются библиотека  ITIL , методика  COBIT , стандарты  ИСО 20000  по менеджменту ИТ-сервисов. Жизненный цикл процесса создания автоматизированной системы регламентирован  ГОСТ 34.601-90 . Каждая стадия создания  АСУ  и перечень документов, фиксирующих результаты работ, сформулированы в  ГОСТ 34.201-89 . ИТ-процессы целесообразно реализовывать в соответствии с требованиями стандартов, так как они разрабатываются с целью упорядочения и унификации деятельности.

Например,  ГОСТ 34.603-92  регламентирует опытную эксплуатацию АСУ. Но даже на стадии внедрения АСУ не все организации уделяют должное внимание опытной эксплуатации, что потом может негативно сказаться на качестве функционирования систем в ходе постоянной эксплуатации. Не говоря о других нормативных требованиях к ИТ, соблюдение которых позволит повысить управляемость ИТ и снизит затраты.

Как подготовиться к ИТ-аудиту

Рынок формирует разнообразные предложения по ИТ-аудиту: технический, инфраструктурный, комплексный, операционный, целевой, аудит информационных систем, ИТ-аудит бизнес-процессов, информационной безопасности и т.п. Аудиторы решают широкий круг вопросов в сфере ИТ.

Компании, предлагающие аудиторские услуги в области ИТ, не всегда обладают исчерпывающим набором инструментов и не всегда способны в полной мере удовлетворить потребности заказчика. Поэтому перед аудитом необходимо найти соответствующих потребностям исполнителей/аудиторов, а также определиться с запросами и ожидаемыми результатами проверки. Затем нужно сформулировать цели контрольных мероприятий в ТЗ на проведение ИТ-аудита.

Виды ИТ-аудитов

Особое внимание следует обратить на важность вопроса классификации и систематизации видов ИТ-аудита. Цель ИТ-аудита каждого из видов должна быть привязана к конкретному  объекту контроля , а также взаимосвязана с периодами цикла Деминга. То есть для каждого из этапов PDCA нужен свой вид аудита. На практике же обычно все происходит не так: обширный перечень объектов контроля расположен в произвольном порядке, а виды аудиторских проверок носят общий характер. Таким образом, аудит может стать менее эффективным, а издержки на его реализацию — повыситься.

Сведем объекты контроля, этапы Деминга и наименования ИТ- аудитов в таблицу.

Классификация ИТ-аудитов позволяет определить цель, объект и сам вид аудита. К примеру, если вам нужен аудит инфраструктуры, то на таблице видно, что вам потребуется провести все четыре вида аудита  на каждом из этапов цикла Деминга. .  Или же, в зависимости от целей, вы можете провести только один аудит (документарную проверку или аудит соответствия какому-либо конкретному внутреннему требованию, ГОСТу), но проверить весь ИТ-комплекс.

Можно организовать аудит более глубокий, например, аудит конкретного бизнес-процесса (функциональности), либо конкретного объекта ИТ-инфраструктуры, например, загруженности сети передачи данных.

Документарный ИТ-аудит

Это проверка нормативного обеспечения ИТ-блока компании документами ,  записями , данными; оценка степени формализации деятельности ИТ-блока компании.

Частой проблемой компаний является низкое качество нормативной базы, согласно которой и должны осуществляться все действия персонала. Если конкретные процедуры и правила документированы недостаточно ясно или вообще не регламентированы, персоналу приходится поступать по своему разумению. Такой подход вносит хаос в организационную среду и чреват столкновением субъективных интересов.

ИТ-аудит соответствия   

Такой аудит можно проводить, когда есть в наличии нормативные требования к состоянию проверяемого объекта и установлены критерии качества.

ИТ-аудит соответствия в большей степени носит  технологический  характер, сосредотачивая основное внимание на исполнении технических заданий, должностных инструкций, графиков эксплуатации, регламентов сопровождения, правил безопасности. Проверяется соблюдение алгоритмов взаимодействий персонала и технологий работы пользователей; соответствие информационной системы ТЗ на ее разработку и соблюдение условий ее обслуживания и диспетчеризации. Контролируется качество функционирования ИТ инфраструктурных объектов, средств связи и телефонии, а также вовлеченность ИТ в сферу облачных технологий.

Риск-ориентированный ИТ-аудит

Такой вид ИТ-аудита отличается от предыдущих двух тем, что к функциям контроля и анализа добавлены идентификация и оценка рисков. Он основывается на методиках исследования потенциальных угроз, оценки величины возможного ущерба и степени вероятности реализации негативного сценария для своевременного выявления и устранения факторов риска. Таким образом, риск-ориентированное мышление аудиторов нацелено не только на оценку тех событий, которые несут в себе потенциальные угрозы или открывающиеся резервные возможности.

При аудите функциональности ИС проверяют, к примеру, наличие дублирующих функций в различных ИС, частоту сбоев и время простоев, полноту и достоверность данных в ИС, наличие реестра доступа и надежность информационной безопасности. Проводится проверка функциональной пригодности: полноты, корректности и целесообразности выполнения определенных задач.

Аудит развития ИТ-блока

Этот аудит базируется на сведениях, полученных на трех первых стадиях ИТ-аудита. Выработать эффективные корректирующие решения, умело их организовать и результативно осуществить — непростые задачи. Поэтому их важно еще и проконтролировать.

Это направление ИТ-аудита — неотъемлемая часть реализации стратегии развития компании в условиях турбулентных изменений внешних и внутренних технологических, экономических и социальных факторов, нормативной базы и др. В этом ключе ИТ-аудит является хорошим инструментом реализации стратегических планов естественного развития компании, сопряженных как с запросами бизнеса, так и с требованиями стандартов: ISO/IEC 9001:2015; ISO/IEC 20000-1:2018; ISO/IEC 25010:2015; ISO/IEC 27001:2013; COBIT-5; ITIL и др.

При практическом применении рассматриваемой систематизации видов ИТ-аудита несогласованности между общими стандартами на системы менеджмента и стандартами на информационные технологии отпадают. Такая классификация позволит снять возможные противоречия при заказе ИТ-аудита у внешней организации, четко сформулировать  предметную область проверки  и ожидаемые результаты.

Организация внутреннего ИТ-аудита

Иногда еще правильнее будет сформировать собственную систему внутреннего ИТ-аудита. Это поможет экономить средства и повышать качество менеджмента ИТ. Однако здесь многое зависит от возможностей самой компании и от размеров ИТ-блока.

Крупные компании, стремящиеся организовать свой внутренний ИТ-аудит, нередко озабочены поиском кадров. Высококвалифицированный специалист должен знать все специальные направления сложноструктурированной ИТ-сферы: от вопросов качества проектирования инфраструктуры и архитектуры программно-технических комплексов до тонкостей технологического сопровождения ИС, включая вопросы информационной безопасности. ИТ-аудитор обязан разбираться во множестве нормативных документов на информационные технологии, включая ИСО 20000, COBIT, ITIL, знать тонкости современного менеджмента, передовые методики контроля, аудита, анализа и оценки.

Но такого универсального специалиста, который будет профессионально знаком с различными аспектами ИТ, специализированными стандартами и сможет решать весь комплекс поставленных перед ним задач, найти достаточно сложно. Тем более, если у руководства компании отсутствует даже понимание назначения и возможностей ИТ-аудита. Поэтому прежде всего необходимо искать хорошего аудитора.

Для того чтобы аудировать ИТ-систему, специалисту необходимо уметь структурировать контрольную среду, визуализировать ее компоненты, различать специализированные виды аудиторских проверок, предметно вовлекая на ролевой основе высококвалифицированных специалистов и технических экспертов в целевой контрольный процесс. Аудитор должен уметь находить корневые причины несоответствий, определять величину угроз и выявлять источник возможностей, а также давать рекомендации по корректировке, предупреждению и улучшению функционирования ИТ-комплекса компании.

Сама по себе возможность организационного проектирования аудиторских процедур одновременно расширяет инструментальную оснащенность ИТ-аудита компании, углубляет его специализацию и повышает его результативность. Также повышается и эффективность — в связи с сокращением издержек на реализацию аудита при решении основных задач ИТ-блока.

Использование ИТ-аудита в системе менеджмента даст возможность руководству увидеть место и роль информационных технологий в организационной структуре, а также их влияние на достижение целей организации и эффективность вложений в ИТ. ИТ-аудит позволяет получать актуальные сведения о текущем уровне развития ИТ-блока, разрабатывать мероприятия по повышению его эффективности, находить наиболее приемлемые управленческие решения, оказывая позитивное влияние на корпоративную систему менеджмента.