прочитано
#цифровизация #управление рисками #аудит #внутренний аудит

В период активной цифровизации бизнеса можно вместо роста показателей эффективности столкнуться с разочарованием от полученного результата. Как минимизировать риски при автоматизации и для чего проводить аудит автоматизированных систем, рассмотрим в статье.

0 5

Если гнаться за лидерами цифровой трансформации, необдуманно увеличивая количество автоматизированных систем и цифровых технологий, можно столкнуться с такими проблемами, как:

  • необоснованный рост затрат;

  • невостребованность автоматизированных систем и цифровых технологий после внедрения;

  • искажение отчетности и недостоверность данных в АСУ;

  • неудовлетворенность пользователей качеством работы автоматизированной системы.

Автоматизация систем управления  находится в зоне высокого риска, где именно соотношение опережающего технологического развития и запаздывающего традиционного менеджмента может ограничить достижение высоких результатов цифровой трансформации бизнеса.

Внутренний риск-ориентированный аудит АСУ является эффективным инструментом для объективной оценки ИТ-решений и результативной минимизации возникающих рисков. Его задача – своевременно выявлять несоответствия на стадиях разработки, внедрения и эксплуатации информационных систем и рекомендовать обоснованные выводами проверок мероприятия по их устранению, учитывая потенциальные ресурсы компании и открывающиеся перспективы.

Зачем нужны ИТ-аудиты и как их систематизировать, читайте в статье «ИТ под контроль»


Нормативная база аудита автоматизированной системы

Для проведения аудита АСУ необходимо опираться  на нормативную базу , регламентирующую жизненный цикл информационной системы. ГОСТ 34 представляет собой всеобъемлющий комплекс взаимоувязанных документов, описывающий взаимодействие заказчика и разработчика. Некоторые специалисты считают эти стандарты морально устаревшими, однако ими продолжают активно пользоваться при оформлении проектной документации и разработке автоматизированных систем.

В основе практически всех современных промышленных технологий создания программных средств лежит международный стандарт ISO/IEC 12207 . При проведении аудита информационных систем также следует опираться на отраслевые и корпоративные стандарты в области ИТ.

Несмотря на значительные затраты на цифровую трансформацию бизнеса, некоторые компании не уделяют должного внимания регламентации процессов управления автоматизацией, распределению ролей в данном процессе. Надеясь на прорывные ИТ-решения, они не всегда гармонично интегрируют их в общую цифровую среду. И получают в результате дорогостоящий «зоопарк» информационных систем, модификация, интеграция и развитие которых требуют значительных необоснованных дополнительных затрат.

Это происходит потому, что организации зачастую:

  • не понимают необходимость разработки и применения стандартов на ИТ;

  • не осознают необходимость регламентировать зоны ответственности при разработке АСУ;

  • не имеют текстов принятых, актуальных международных стандартов на ИТ; 

  • не знают всех положений законодательства и нормативных требований в сфере стандартизации и технического регулирования.

Поэтому аудитору следует обращать внимание на качество подборки нормативных требований, исходя из целей ИТ-аудита АСУ. Выявление несоответствий на ранних стадиях жизненного цикла АСУ позволит минимизировать издержки в дальнейшем либо минимизировать риски при разработке новых автоматизированных систем, учитывая опыт предыдущей автоматизации.

аудит автоматизир систем_схема 1.png

В практике ИТ-аудита нередко приходится сталкиваться с несоответствиями, которые несут значительные риски низкой эффективности автоматизации.

Управление рисками

Риски автоматизированных систем:

  • неиспользование функционала системы;

  • недостаточная степень автоматизации операций;

  • несоответствие логики работы системы бизнес-процессам;

  • несоответствие решений и процедур нормативным документам;

  • противоречивость информации, данных АСУ и бумажных носителей;

  • некорректная работа системы или нарушение целостности данных;

  • несоответствие полномочий, присвоенных пользователю, с возложенными должностными обязанностями и определенной ролевой моделью;

  • нарушение конфиденциальности;

  • удаление (изменение) данных неуполномоченным лицом;

  • отсутствие автоматизированных контролей, произвольное искажение данных;

  • длительное рассмотрение и задержка устранения ошибок, инцидентов;

  • несвоевременная доработка АСУ в соответствии с требованиями законодательства, нормативными и распорядительными документами компании;

  • низкий уровень компетенций персонала для обеспечения грамотного пользования всеми возможностями АСУ;

  • некорректная постановка задачи на автоматизацию из-за  когнитивного сопротивления изменениям .

Причинами возникновения рисков являются недоработки, упущения, нарушения на этапах жизненного цикла АСУ. Среди них:

  1. некомпетентность при проектировании/постановке задачи на автоматизацию;

  2. поверхностный подход при тестировании на контуре разработки;

  3. игнорирование полноценной опытной эксплуатации;

  4. недоработки ролевой модели участников процесса;

  5. ввод в промышленную эксплуатацию системы с недоработками;

  6. отсутствие полного пакета эксплуатационной и технической документации на ИС.

Для того чтобы управлять рисками, необходимо их идентифицировать и оценивать. Именно риск-ориентированный подход к аудиту АСУ является наиболее эффективным. Необходимо определить цель и границы аудита, а также запрос, на минимизацию каких рисков он направлен.

Цели, задачи и этапы проведения аудита АСУ

Какими могут быть ключевые этапы проведения аудита АСУ:

  1. Разработать и согласовать с руководителем компании-заказчика цель и программу аудита автоматизированной системы;

  2. Собрать информацию о текущем состоянии автоматизированной системы;

  3. Проанализировать нормативную документацию, функционирование бизнес-процессов и их взаимосвязь с АСУ;

  4. Собрать сведения об администрировании, сопровождении АСУ, пользовательской активности;

  5. Провести тестирование функционала;

  6. Оценить достоинства и недостатки АСУ, возможности для масштабирования и потенциальные риски;

  7. Провести оценку контрольных процедур при разработке, введении в эксплуатацию АСУ и непосредственно при эксплуатации;

  8. Подготовить отчет по результатам аудита с рекомендациями.

Область ИТ сложно структурирована , и автоматизированная система может быть проанализирована с разных сторон. Этапы и состав аудиторских процедур АСУ могут меняться в зависимости от целей и задач, например:

  • аудит полноты и качества эксплуатационной и технической документации;

  • аудит степени автоматизации бизнес-процесса / аудит соответствия логики работы АСУ бизнес-процессу;

  • аудит соответствия задаче автоматизации ;

  • аудит жизненного цикла ;

  • аудит обеспечения информационной безопасности ;

  • аудит достоверности отчетности и риска ее искажения;

  • аудит UX/UI удобства интерфейса и удовлетворенности пользователя.

Результатом аудита автоматизированной системы станет итоговый отчет, включающий в себя:

  • описание текущего состояния АСУ;

  • список найденных несоответствий и выявленных рисков;

  • рекомендации по их устранению и повышению эффективности функционирования АСУ.

По результатам аудита должен быть разработан и подписан план мероприятий, определены ответственные исполнители, выделены ресурсы. Контроль за результатами этих мероприятий также возлагается на внутренний аудит.

Формируя систему управления ИТ, руководители компаний сегодня как никогда должны анализировать эффективность автоматизации

Чтобы избежать провалов проектов цифровой трансформации, справиться с преобразованиями, вызванными текущими угрозами и ограничениями внешней среды , а также перевести количественные изменения  в качественные, необходимы:

  • развитие методов управления ИТ;

  • повышение эффективности работы ИТ-персонала;

  • организационная консолидация, регламентация и стандартизация;

  • регулярное проведение ИТ-аудита.

Повышение качества внутреннего ИТ-аудита – это более надежный и менее затратный путь к росту конкурентоспособности и эффективности бизнеса.