X Международная студенческая научная конференция Студенческий научный форум - 2018
ИТ-АУДИТ НА МАЛЫХ И СРЕДНИХ ПРЕДПРИЯТИЯХ
КомментарииПолная версия работы доступна во вкладке "Файлы работы" в формате PDF
Подобным средством контроля и управления на предприятии может выступать аудит. Регулярное проведение процедуры аудита позволяет накопить информацию о состоянии организации, которая в дальнейшем может быть использована для оптимизации деятельности предприятия.
В целом, под аудитом понимают процесс, посредством которого компетентное независимое лицо накапливает и оценивает свидетельства об информации, поддающейся количественной оценке и относящейся к соответствующей системе, чтобы определить и выразить в своем заключении степень соответствия этой информации общепринятым или обозначенным критериям [6].
На данный момент сложились две основные концепции понимания того, что следует считать аудитом. Это, во-первых, аудит в узком смысле слова, под которым подразумевается только проверка достоверности и соответствия представленной финансовой отчетности предприятия бухгалтерским стандартам и правилам. И, во-вторых, аудит в широком смысле слова, под которым в эпоху информационного общества стали понимать не столько аудит отчетности, сколько аудит всего бизнеса. В данном случае аудиту подвергаются не только данные финансовой отчетности, но и информация, получаемая при исследовании хозяйственных, технологических, информационных и управленческих процессов. При этом ИТ-аудит является одной из составляющих аудита в широком смысле. ИТ-аудит нацелен на получение адекватной картины текущего состояния ИТ и идентификацию проблемных областей в части ИТ-поддержки основной деятельности организации [8].
Цель проведения ИТ-аудита состоит в оценке производительности используемых на предприятии информационных технологий, выявлении узких мест в их работе и прогнозировании возможных сбоев. И, в конечном итоге, улучшении текущего состояния информационных технологий в компании посредством оптимизации работы ИТ-подразделения и используемых информационных технологий.
Результаты ИТ-аудита позволяют:
оценить соответствие ИТ-инфраструктуры требованиям бизнеса,
выявить недостатки функционирования ИТ,
выстроить ИТ-инфраструктуру, соответствующую протекающим в организации бизнес-процессам;
повысить качество принимаемых решений, касающихся инвестиций в развитие ИТ в организации,
сократить сроки внедрения новых средств ИТ.
Несмотря на актуальность ИТ-аудита, вопрос нормативного регулирования его проведения в Российской Федерации довольно неоднозначен. Существует Федеральный закон «Об аудиторской деятельности», который регулирует аудиторскую деятельность в финансовой сфере, но совершенно не затрагивает процедуру проведения ИТ-аудита.
Вопросу ИТ-аудита и внутреннего контроля за ИТ посвящены несколько зарубежных стандартов аудита и российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Однако сложностью применения большинства стандартов при проведении ИТ-аудита является их направленность, в первую очередь, на проведение аудита финансовой деятельности, реализуемой с использованием информационных технологий. К таким стандартам можно отнести Положения по международной аудиторской практике (ПМАП) 1002 «Онлайновые компьютерные системы», ПМАП 1003 «Среда КИС – системы баз данных», ПМАП 1008 «Оценка рисков и система внутреннего контроля», стандарт «Аудит в условиях компьютерной обработки данных (КОД)», Международный стандарт аудита 401 «Аудит в среде компьютерных информационных сетей».
Из рассмотренных существующих стандартов проведения ИТ-аудита международный стандарт CobiT (Control Objectives for Information and Related Technologies) является самым развернутым, и при этом ориентируется на проведение аудита ИТ-инфраструктуры. СоbiT является синтезом четырех десятков международных стандартов в области аудита, контроля, управления информационными технологиями и информационной безопасности. [12]
Акцент в CobiT делается не на детальном описании процессов, а на методах их организации, оценки, измерения и т. п. CobiT, благодаря единой терминологии, служит своеобразной платформой, обеспечивающей общение и понимание процессов организации между всеми участниками бизнеса: топ-менеджерами, руководителями среднего звена, непосредственными исполнителями (инженерами, программистами и т. д.) и аудиторами [5].
Объектами ИТ-аудита являются различные составляющие ИТ-инфраструктуры предприятия – оборудование, программное обеспечение, средства электронной коммуникации и информационной безопасности.
В процессе аудита программного обеспечения производится инвентаризация используемых прикладных, серверных и пользовательских программ, анализ полноты лицензирования, оценка оптимальности выбранной программы лицензирования с позиции финансовых затрат.
Не менее важной задачей при проведении аудита программного обеспечения является задача обнаружения в сетевой инфраструктуре компании неучтенного и нелицензионного программного обеспечения, поскольку данный софт – это потенциальная брешь в системе информационной безопасности, а использование пиратского программного обеспечения нарушает законодательство.
В процессе аудита средств электронной коммуникации производится анализ внешних каналов передачи данных и технология обмена информацией с внешними сетями и системами связи. Преимущественно, в рамках данного аудита обследуется организация телефонной связи и электронной почты.
Аудит информационной безопасностивключает в себя анализ систем информационной безопасности, систем хранения и резервирования данных, средств защиты от вирусов, спама, несанкционированного проникновения и т. п. [3].
Как правило, в базовый перечень исходных данных для проведения ИТ-аудита включаются таким аспекты деятельности предприятия, как:
организационная структура предприятия;
описание основных бизнес-функций подразделений;
состав действующих информационных систем, сроки их эксплуатации и функциональное назначение;
бизнес-процессы, поддерживаемые системами;
состав используемых программных продуктов;
пользователи систем;
функциональные задачи подразделений и конечных пользователей в рамках систем;
состав организационно-технической документации на системы (технические задания, проектная документация);
структура службы ИТ и ее подчиненность;
перспективные планы работ по развитию ИТ;
ИТ-бюджет‚ процедуры его формирования, использования и контроля исполнения [4].
Некоторые из представленных пунктов могут быть предоставлены заказчиком ИТ-аудита еще до запуска процедуры ИТ-аудита. Тогда в рамках ИТ-аудита стоит задача проверки актуальности предоставленной информации и степени ее соответствия реальному положению дел.
На этапе подготовки к процедуре ИТ-аудита изучается существующая документация по ИТ-инфраструктуре организации, планируется и согласовывается график аудита, согласовываются методы сбора данных.
На этапе обследования ИТ-инфраструктуры предприятия проводятся тестовые испытания функционирования ИТ-инфраструктуры в соответствии с методикой аудита информационных технологий, разработанной и согласованной на предыдущем этапе.
Этап 3. Анализ результатов обследования:
На данном этапе на основании исходных данных и тестовых испытаний проводится комплексный анализ собранной информации и определение степени соответствия ИТ-инфраструктуры требованиям заказчика. Аудиторами осуществляется:
комплексный анализ собранной информации, выявления тенденций;
определение степени соответствия ИТ-инфраструктуры требованиям Заказчика;
выработка рекомендаций по созданию/ модернизации/ оптимизации ИТ-инфраструктуры;
составление итогового отчета о результатах ИТ-аудита.
В итоговом отчете о состоянии ИТ-аудита должны быть отражены следующие аспекты:
Основания для проведения аудита. Приводится описание организационных решений по проведению аудита: график аудита, его объект и цели, заказчик проведения.
Направления аудита. Описываются методика проведения аудита, состав проверяемой документации, перечень проведенных интервью и краткое содержание выявленной по их результатам информации.
Сводка фактов по целям и задачам проекта ИТ-аудита с точки зрения заинтересованных лиц.
Сводка фактов по идентифицированным и подтвержденным результатам проекта ИТ-аудита. В рамках данного аспекта должны быть описаны фактически полученные содержательные результаты, направленные на удовлетворение информационных потребностей конечных пользователей и информационную поддержку основных и вспомогательных бизнес-процессов.
Сводка идентифицированных пробелов. В этом разделе раскрывается перечень отсутствующих, но запланированных результатов, дается их характеристика с точки зрения влияния их отсутствия на ожидаемый возврат от инвестиций в реализацию ИТ-проектов.
Краткая характеристика текущего состояния ИТ в организации. Этот раздел состоит из нескольких подразделов, которые отражают состояние ИТ в организации. В подразделах может быть описано состояние в области применения ИТ, области организации управления и планирования ИТ, в области ИТ-обслуживания, персонала службы ИТ и информационной безопасности.
Исходя из полученных результатов ИТ-аудита организации предоставляются рекомендации по совершенствованию процессов управления эксплуатацией и развитием информационных технологий [6].
Для автоматизации проведения комплексного ИТ-аудита могут быть использованы следующие системы: «ЭкспрессАудит ПРОФ», «AuditXP «Комплекс Аудит», «HITpsa», «AuditNET 2.0» [1].
Если же говорить об особенностях проведения ИТ-аудита на предприятиях малого бизнеса (МБ), то, в первую очередь, они связаны со спецификой данных предприятий, которая частично отражена в виде критериев отнесения организации к сегменту СМБ в Федеральном Законе № 209 «О развитии малого и среднего предпринимательства в Российской Федерации» от 06.07.2007 г. Эти критерии касаются состава учредителей, средней численности работников и размера годовой выручки.
Относительно годовой выручки в законе указано, что максимально допустимая сумма годовой выручки без НДС за предыдущий год для малых предприятий составляет до 800 млн рублей, для средних предприятий – до 2 млрд рублей. Допустимая среднесписочная численность работников: не более 100 человек для малых и не более 250 человек для средних предприятий.
К СМБ также могут быть отнесены ИП, в отношении которых действуют такие же критерии разделения на категории бизнеса: по годовой выручке и численности работников. Если у ИП нет работников, то его категория МСБ определяется только по размеру выручки.
При этом значения критериев, закреплённых в законе № 209-ФЗ, должны определяться для каждого предприятия ежегодно, по данным предшествующего календарного года. [9]
Например, в совместном исследовании Microsoft и Международной школы бизнеса Хальта, направленного на изучение рынка СМБ в Центральной и Восточной Европе, выявлено, что большинство современных компаний СМБ в процессе реализации своей деятельности сталкиваются с определенными сложностями, в числе которых и конкуренция с крупными компаниями.
При этом 18 %опрошенных называюткамнем преткновения в борьбе за долю рынка недостаток современных технологий и инвестиций в них, которыми располагают крупные компании. Более 70 % компаний СМБ уверены, что ИТ обеспечивает гибкость, 85 % согласны, что технологии позволяют экономить время на рутинных операциях и использовать его для решения стратегических задач [7].
В другом исследовании, проведенном исследовательской компанией Wakefield Research по заказу HP выявлено, что:
89 % компаний СМБ имеют проблемы, связанные с ИТ.
54 % опрошенных руководителей малого бизнеса летом работают удаленно, при этом не всегда проблемы ИТ могут решаться адекватно и своевременно.
Согласно же статистике разработчика технологий аудита Netwrix, опубликовавшего результаты исследования, посвященного анализу используемых технологий изменения ИТ-инфраструктуры, установлены следующие факты:
65 % ИТ-специалистов вносят изменения в ИТ-инфраструктуру предприятия, которые приводят к остановке работы; 52 % вносят в ИТ-системы изменения, которые сопровождаются простоями каждый день или раз в неделю, а 39 % вносят изменения, которые приводят к появлению брешей в системе безопасности компаний [2].
Исходя из результатов приведенных исследований, можно сделать вывод, что большинство представителей СМБ осознают влияние ИТ на эффективность работы компании и ее положение на рынке. Большинство из них при этом сталкиваются с проблемами, связанными с нарушением или неэффективной работой ИТ-инфраструктуры предприятия, и осознают необходимость изменений для улучшения работы ИТ.
Проведение же ИТ-аудита в данном случае помогло бы установлению причин нарушения нормальной работы ИТ и дальнейшему избеганию проблемных ситуаций. Этот факт подтверждает, что и для представителей СМБ вопрос проведении ИТ-аудита является актуальным.
Особенности проведения ИТ-аудита в СМБ можно условно разбить на несколько групп, связанных с различными аспектами:
1. С персоналом ИТ-службы.
В организациях СМБ ИТ-специалистов гораздо меньше, и обычно они обеспечивают работу технологической составляющей предприятия, в то время как в крупных фирмах ИТ-специалисты занимаются реализацией бизнес-стратегий.
2. Требования к ИТ.
В отличие от крупного бизнеса, требования небольших и средних предприятий к ИТ просты и в большинстве случаев одинаковы. Поэтому предприятия малого бизнеса являются потребителями универсальной технологической продукции. Небольшая цена информационно-технологического оборудования и простота доступа к сервисному обслуживанию являются важнейшими критериями при его выборе.
Отсюда вытекает особенность – однотипность и стандартность используемых различными организациями СМБ технологий, а это облегчает проведение аудита программного обеспечения в рамках ИТ-аудита.
3. Стоимость ИТ-решений.
При выборе той или иной информационной технологии предприятия малого бизнеса в большинстве случаев ограничены в своем капитале, следовательно, они в большей степени зависимы в отношении цены и качества в сравнении с крупными предприятиями.
Отсюда следует, что и при выборе компании, проводящей ИТ-аудит, руководство будет ориентироваться, в первую очередь, на стоимость проекта и качество услуг.
4. Направленность на решение текущих задач
Для предприятия малого бизнеса первостепенной задачей является выбор такого решения, которое позволит справиться с текущими проблемами [7].
Поэтому организации СМБ в большинстве случае проводят ИТ-аудит только при возникновении проблем в работе ИТ-инфраструктуры, нарушающих деятельность всей организации.
Литература
Аудит, анализ // [Электронный ресурс] / Audit-it.ru. URL: https://www.audit-it.ru/software/auditing/ (дата обращения: 12.01.2018).
Две трети компаний сами ломают свои ИТ-системы // [Электронный ресурс] / CNews. URL: http://archive.li/eTEMJ#selection-1131.0-1131.46 (дата обращения: 10.01.2018).
Комплексный ИТ-аудит // [Электронный ресурс] / Progress. URL: http://itprogress.ru/solutions/consulting/it-audit/ (дата обращения: 20.12.2017).
Левочкина Г.А., Калянов Г.Н., Васильев Р.Б. Управление развитием информационных систем. – Интуит, 2009.
Обзор стандарта COBIT (Control Objectives for Information and related Technology) v. 4.1. Методология, процессы, критерии, внедрение Cobit. // [Электронный ресурс] / ITExpert. URL: http://www.itexpert.ru/rus/biblio/cobit/ (дата обращения: 19.12.17).
Понятие, классификации и концепции аудита // [Электронный ресурс] / Финансовый университет при правительстве РФ. URL: http://www.old.fa.ru/science/iscience/Pages/Ponyatie,-klassifikatsii-i-kontseptsii-audita.aspx (дата обращения: 21.12.2017).
Российский средний и малый бизнес готов к цифровой трансформации // [Электронный ресурс] / Microsoft. URL: https://news.microsoft.com/ru-ru/rossijskij-srednij-i-malyj-biznes-gotov-k-tsifrovoj-transformatsii/#_ftnref1 (дата обращения: 10.01.2018).
Ситнов А.А. Комплексный аудит информационной системы: учебное пособие. - М.: Изд. центр ЕАОИ, 2012.
Федеральный закон "О развитии малого и среднего предпринимательства в Российской Федерации" // [Электронный ресурс] / КонсультантПлюс. URL: http://www.consultant.ru/document/cons_doc_LAW_52144/ (дата обращения: 12.01.2018).