Аудит автоматизированных систем

Если гнаться за лидерами цифровой трансформации, необдуманно увеличивая количество автоматизированных систем и цифровых технологий, можно столкнуться с такими проблемами, как:

• необоснованный рост затрат;

• невостребованность автоматизированных систем и цифровых технологий после внедрения;

• искажение отчетности и недостоверность данных в АСУ;

• неудовлетворенность пользователей качеством работы автоматизированной системы.

Автоматизация систем управления  находится в зоне высокого риска, где именно соотношение опережающего технологического развития и запаздывающего традиционного менеджмента может ограничить достижение высоких результатов цифровой трансформации бизнеса.

Внутренний риск-ориентированный аудит АСУ является эффективным инструментом для объективной оценки ИТ-решений и результативной минимизации возникающих рисков. Его задача – своевременно выявлять несоответствия на стадиях разработки, внедрения и эксплуатации информационных систем и рекомендовать обоснованные выводами проверок мероприятия по их устранению, учитывая потенциальные ресурсы компании и открывающиеся перспективы.

Зачем нужны ИТ-аудиты и как их систематизировать, читайте в статье «ИТ под контроль»

Справка

Аудит автоматизированной системы – систематический, независимый и документированный процесс получения объективных данных о состоянии автоматизированной системы и оценке ее соответствия критериям аудита.

Комплекс мероприятий аудита АСУ нацелен на выявление несоответствий нормативным требованиям, определение корневых причин несоответствий, оценку уровня риска и предоставление объективных гарантий и консультаций, направленных на совершенствование ИТ.

подробнее

Нормативная база аудита автоматизированной системы

Для проведения аудита АСУ необходимо опираться  на нормативную базу , регламентирующую жизненный цикл информационной системы. ГОСТ 34 представляет собой всеобъемлющий комплекс взаимоувязанных документов, описывающий взаимодействие заказчика и разработчика. Некоторые специалисты считают эти стандарты морально устаревшими, однако ими продолжают активно пользоваться при оформлении проектной документации и разработке автоматизированных систем.

В основе практически всех современных промышленных технологий создания программных средств лежит международный стандарт ISO/IEC 12207 . При проведении аудита информационных систем также следует опираться на отраслевые и корпоративные стандарты в области ИТ.

Несмотря на значительные затраты на цифровую трансформацию бизнеса, некоторые компании не уделяют должного внимания регламентации процессов управления автоматизацией, распределению ролей в данном процессе. Надеясь на прорывные ИТ-решения, они не всегда гармонично интегрируют их в общую цифровую среду. И получают в результате дорогостоящий «зоопарк» информационных систем, модификация, интеграция и развитие которых требуют значительных необоснованных дополнительных затрат.

Это происходит потому, что организации зачастую:

• не понимают необходимость разработки и применения стандартов на ИТ;

• не осознают необходимость регламентировать зоны ответственности при разработке АСУ;

• не имеют текстов принятых, актуальных международных стандартов на ИТ; 

• не знают всех положений законодательства и нормативных требований в сфере стандартизации и технического регулирования.

Поэтому аудитору следует обращать внимание на качество подборки нормативных требований, исходя из целей ИТ-аудита АСУ. Выявление несоответствий на ранних стадиях жизненного цикла АСУ позволит минимизировать издержки в дальнейшем либо минимизировать риски при разработке новых автоматизированных систем, учитывая опыт предыдущей автоматизации.

В практике ИТ-аудита нередко приходится сталкиваться с несоответствиями, которые несут значительные риски низкой эффективности автоматизации.

Управление рисками

Риски автоматизированных систем:

• неиспользование функционала системы;

• недостаточная степень автоматизации операций;

• несоответствие логики работы системы бизнес-процессам;

• несоответствие решений и процедур нормативным документам;

• противоречивость информации, данных АСУ и бумажных носителей;

• некорректная работа системы или нарушение целостности данных;

• несоответствие полномочий, присвоенных пользователю, с возложенными должностными обязанностями и определенной ролевой моделью;

• нарушение конфиденциальности;

• удаление (изменение) данных неуполномоченным лицом;

• отсутствие автоматизированных контролей, произвольное искажение данных;

• длительное рассмотрение и задержка устранения ошибок, инцидентов;

• несвоевременная доработка АСУ в соответствии с требованиями законодательства, нормативными и распорядительными документами компании;

• низкий уровень компетенций персонала для обеспечения грамотного пользования всеми возможностями АСУ;

• некорректная постановка задачи на автоматизацию из-за  когнитивного сопротивления изменениям .

Причинами возникновения рисков являются недоработки, упущения, нарушения на этапах жизненного цикла АСУ. Среди них:

1. некомпетентность при проектировании/постановке задачи на автоматизацию;

2. поверхностный подход при тестировании на контуре разработки;

3. игнорирование полноценной опытной эксплуатации;

4. недоработки ролевой модели участников процесса;

5. ввод в промышленную эксплуатацию системы с недоработками;

6. отсутствие полного пакета эксплуатационной и технической документации на ИС.

Для того чтобы управлять рисками, необходимо их идентифицировать и оценивать. Именно риск-ориентированный подход к аудиту АСУ является наиболее эффективным. Необходимо определить цель и границы аудита, а также запрос, на минимизацию каких рисков он направлен.

Цели, задачи и этапы проведения аудита АСУ

Какими могут быть ключевые этапы проведения аудита АСУ:

1. Разработать и согласовать с руководителем компании-заказчика цель и программу аудита автоматизированной системы;

2. Собрать информацию о текущем состоянии автоматизированной системы;

3. Проанализировать нормативную документацию, функционирование бизнес-процессов и их взаимосвязь с АСУ;

4. Собрать сведения об администрировании, сопровождении АСУ, пользовательской активности;

5. Провести тестирование функционала;

6. Оценить достоинства и недостатки АСУ, возможности для масштабирования и потенциальные риски;

7. Провести оценку контрольных процедур при разработке, введении в эксплуатацию АСУ и непосредственно при эксплуатации;

8. Подготовить отчет по результатам аудита с рекомендациями.

Область ИТ сложно структурирована , и автоматизированная система может быть проанализирована с разных сторон. Этапы и состав аудиторских процедур АСУ могут меняться в зависимости от целей и задач, например:

• аудит полноты и качества эксплуатационной и технической документации;

• аудит степени автоматизации бизнес-процесса / аудит соответствия логики работы АСУ бизнес-процессу;

• аудит соответствия задаче автоматизации ;

• аудит жизненного цикла ;

• аудит обеспечения информационной безопасности ;

• аудит достоверности отчетности и риска ее искажения;

• аудит UX/UI удобства интерфейса и удовлетворенности пользователя.

Результатом аудита автоматизированной системы станет итоговый отчет, включающий в себя:

• описание текущего состояния АСУ;

• список найденных несоответствий и выявленных рисков;

• рекомендации по их устранению и повышению эффективности функционирования АСУ.

По результатам аудита должен быть разработан и подписан план мероприятий, определены ответственные исполнители, выделены ресурсы. Контроль за результатами этих мероприятий также возлагается на внутренний аудит.

Чтобы избежать провалов проектов цифровой трансформации, справиться с преобразованиями, вызванными текущими угрозами и ограничениями внешней среды , а также перевести количественные изменения  в качественные, необходимы:

• развитие методов управления ИТ;

• повышение эффективности работы ИТ-персонала;

• организационная консолидация, регламентация и стандартизация;

• регулярное проведение ИТ-аудита.

Повышение качества внутреннего ИТ-аудита – это более надежный и менее затратный путь к росту конкурентоспособности и эффективности бизнеса.