Управление и аудит информационных технологий

Внешние аудиторы акцентируют  свое внимание на независимом подтверждении  надежности и адекватности системы  внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности  системы внутреннего контроля ИТ.

Виды услуг  по аудиту ИТ на российском рынке

На Российском рынке в  настоящее время можно выделить 6 видов услуг по аудиту ИТ:

• Обследование ИТ.
• Экспертная оценка ИТ.
• Технический аудит ИТ.
• Аудит ИТ бизнес-процесса.
• Аудит критерия ИТ.
• Комплексный аудит ИТ.

Обследование  ИТ - частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

• оценка ИТ-проектов или проектных решений;
• оценка обоснованности инвестиций в ИТ;
• оценка стоимости ИТ-составляющей компании;
• оценка текущих ИТ-проектов;
• оценка возможности перепрофилирования ИТ-инфраструктуры;
• оценка организации эксплуатации ИТ;
• оценка подготовки пользователей.

Технический аудит  ИТ – это сбор, анализ информации и  выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

• определение ответственного за процесс;
• определение пользователей и участников бизнес-процесса;
• выявление применяемого оборудования и программ;
• оценка действий обслуживающего персонала и пользователей;
• анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит  ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Стандарты ИТ-аудита

Вопросу аудита и внутреннего  контроля за информационными системами  посвящены несколько зарубежных стандартов аудита и специальный  российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной  практике аудита 1002, 1003,1004, 1008, 1009. В них  отражены вопросы практики аудита в  среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в  условиях КОД, техника проведения аудита с учетом использования современных  информационных технологий.

Основные этапы  проведения аудита

В обобщенном виде ИТ-аудит  проводится в два этапа:

• этап "Планирование ИТ-аудита".
• этап "Проведение ИТ-аудита".

На этапе "Планирования ИТ-аудита":

• Анализируются:
• структура бизнес-процессов;
• платформы и структура информационных систем, поддерживающих бизнес-процессы;
• структура ролей и распределения ответственности, включая аутсорсинг;
• бизнес-риски и бизнес-стратегия.
• Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
• Идентифицируются ИТ-риски.
• Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
• На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:

• Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
• Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
• Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
• Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

Результаты проведения ИТ-аудита

Результаты ИТ-аудита компании классифицируются на три группы:

• Организационные – планирование, управление, документооборот функционирования ИС.
• Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д
• Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие  документы:

• Основные документы:
• Отчет о результатах ИТ-аудита компании.
• Отчет о результатах аудита информационной безопасности компании.
• Дополнительные документы (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):
• Долгосрочный план развития ИТ/ИС;
• Краткосрочный план развития ИТ/ИС;
• Отчет о текущем состоянии ИТ/ИС.
• Техническое задание на изменение ИТ/ИС
• Методология работы и настройки (доводки) ИТ/ИС компании.
• Концепция построения политики безопасности ИТ/ИС компании.
• Политика безопасности ИТ/ИС компании.
• План восстановления ИТ/ИС в чрезвычайной ситуации.
• Порядок действий в случае нарушения защиты информации.
• План-график проведения последующих ИТ-аудитов.

Результатные документы  могут иметь сокращенную и  полную редакции. Документ в сокращенной  редакции – это документ, содержащий основные итоги и рекомедации  по тематике ИТ-аудита и предназначенный  для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

 

 

 

 

 

Заключение

Перефразируя утверждение, что "у каждой бумаги должны быть ноги", можно сказать, что у  каждого стандарта должна быть голова. CobiT не является исключением, именно его  переосмысление и адаптация под  нужды каждого конкретного Заказчика, будь то ИТ-руководитель, внешний или  внутренний аудитор, либо консультант  — это большая ежедневная работа.

Для решения задачи, связанной с  созданием собственной службы внутреннего  аудита, организация на определенном этапе оценивает экономическую  эффективность подобной службы, которая  призвана стать дополнительным источником информации для руководителя, принимающего решения. Если служба внутреннего аудита признается экономически эффективной  для организации, то она создается, если не эффективной — то приглашаются внешние консультанты или аудиторы для проведения работ.

Независимо от результатов выбора из перечисленных выше возможностей перед руководителем неоспоримо возникает еще одна проблема: необходимость  выбора методологического средства, на основе которого будет построена  система управления и контроля и  которое будет рабочим инструментом службы внутреннего ИТ-аудита. На сегодняшний  день ощутимого недостатка в стандартах нет. Такие стандарты, как ISO, ITIL и  другие, уже применяются и в  российской практике, более того, интерес  к ним неизменно растет. Все  они практически в равной степени  наделены определенными преимуществами и недостатками, прежде всего из-за функциональной направленности и специфической  области применения. Любому же пользователю интересен, прежде всего, комплексный  подход к решению, тем более в  таком объемном и многогранном вопросе, как управление и контроль ИТ. Рассмотрим более подробно одно из существующих решений — стандарт CobiT.

 

 

 

Список использованных источников информации

 

1.  http://www.crmportal.cz/ (Перевод на русский язык: Информационный портал "Практика CRM", 2010)
2. Интернет портал iTeam технологий корпоративного управления [Электронный ресурс]. – Режим доступа: http://www.iteam.ru/, свободный.
3. Интернет-энциклопедия ITPedia [Электронный ресурс]. – Режим доступа: http://www.itpedia.ru/, свободный.
4. http://www.crm-practice.ru/editor/523/