VI Международная студенческая научная конференция Студенческий научный форум - 2014

ИТ-аудит входит в обязательный спектр услуг, как консалтинговых компаний, так и системных. Поскольку количество используемых информационных систем быстро растет, а их качество постоянно улучшается, необходим периодический анализ состояния информационных технологий (ИТ) и всего, что с этим связано, а именно: информационных систем (ИС), ИТ-оборудования, организации ИТ-отдела и обоснованности решений о развитии ИТ-компании.

Аудит информационных систем и технологий (ИТ-аудит) – системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях происходящих в них, устанавливающий уровень их соответствия определённому критерию и предоставляющий результаты заказчику[1].

Согласно стандарту ISO 19011 «Рекомендации по аудиту систем менеджмента качества и/или окружающей среды» [2], под аудитом понимается «систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита».

Проведение ИТ-аудита можно разделить на 5 этапов:

1. Планирование аудита;

2. Получение общего представления об ИТ-процессах организации;

3. Анализ рисков в области использования информационных технологий;

4. Тестирование контрольных процедур в области информационных технологий;

5. Составление аудиторского заключения.

На этапе планирования аудита составляется общий план проведения аудита, согласовывается график проведения интервью, составляются шаблоны запросов, отчетов и других документов, анализируется предыдущий опыт работы. Планирование аудита составляет 10-15 % временных затрат на проект.

На этапе получения общего представления об ИТ-процессах организации происходит сбор и анализ информации, формирующей общее представление об управлении ИТ в компании, что позволяет иметь четкое представление о том, какие информационные активы являются ключевыми для организации и как они управляются. Данный этап составляет 15-20% временных затрат на проект.

К этапу анализа рисков в области информационных технологий относят выявление рисков, которые несут в себе текущие процесс управления ИТ, выявление контрольных процедур, внедренных в компанию для снижения данных рисков. Анализ рисков занимает приблизительно 10% временных затрат проекта по аудиту ИС.

Тестирование контрольных процедур в области информационных технологий - этоодин из основных и самых трудоемких этапов (до 50%).

На последнем этапе составления аудиторского заключения обычно составляется два документа:

• Аудиторское заключение для финансового аудита. (в этом документе излагаются общие выводы об эффективности системы внутреннего контроля над ИТ.

• Отчет для руководства организации. В этом документе описываются найденные недостатки системы, определяется степень существования недостатков и указания причин.

В ходе ИТ-аудита возникают проблемы, которые бывают двух видов: проблемы, связанные с человеческим фактором, и проблемы, связанные со сложностью обработки большого объема данных. Ключевыми, на мой взгляд, являются проблемы, приведенные в таблице 1.

Таблица 1.-Проблемы, связанные с ИТ-аудитом

Вид проблем	Задача	Суть проблемы
Связанные с человеческим фактором	Получение нужной информации от сотрудников	Неприятие проекта в целом
	Согласование итогового отчета	Неприятие выводов, сделанных в ходе проекта
	Использование итогового отчета	Неприятие результатов проекта
Связанные со сложностью обработки большого объема	Формирование общего представления об ИТ	Неполнота собранных данных
	Контроль правильности заполнения анкет	Некорректное заполнение анкет
	Обработка собранных данных	Большой объем плохо структурированных данных

Эти проблемы должны решаться в ходе любого ИТ-аудита. Методы решения достаточно очевидны, но, пытаясь сэкономить время и средства, компании их нередко игнорируют, что увеличивает риск неудачного завершения проекта. Формировать методику ИТ-аудита необходимо исходя из его конечной цели. Структура и содержание отчета об аудите должны соответствовать задачам проекта.

Определим основные виды аудита ИТ-инфраструктуры и рассмотрим их особенности:

• Аудит перед сертификации по международным стандартам

• Аудит перед реструктуризацией ИТ-подразделений

• Аудит перед внедрением информационной системы

• Аудит перед внедрением систем управления конфигурацией/ИТ-активами

В основном аудит проводится с целью подготовки компании к внешней сертификации. В этом случае выполняется аудит в классическом его понимании. Объектом аудита является структура и процессы ИТ-подразделения (сопровождение ПО, поддержка пользователей, развитие ИС и т.п.). Назовем данный тип проектов аудитом перед сертификацией. Основные его параметры приводятся в таблице 2.

Таблица 2.- Параметры проекта аудита перед сертификацией

Схема организации	Анкетирование, интервью. Анкеты являются предпочтительной формой обследования. Интервью проводятся на основе анкет.
Участники	Исполнители: внешняя сертифицированная компания. Опрашиваемые сотрудники: определяются в зависимости от стандарта, на соответствие которому проводится аудит (руководители ИТ- и бизнес-подразделений). Заказчики: бизнес руководство компании, руководство финансовых подразделений.
Объекты исследования	Процессы в ИТ-подразделениях. Оргструктура ИТ-подразделений. Нормативно-справочная документация, регламентирующая деятельность ИТ-подразделений.
Итоговый отчет	Составляется в тестовом формате и содержит: Описание текущего состояния, Заключение о степени соответствия стандарту, Рекомендации по изменению ИТ для соответствия стандарту.

Вторая возможная цель аудита — получение рекомендаций по организации ИТ-подразделений. Такой аудит выполняется, например, в холдингах при приобретении новых компаний, для определения рациональной процедуры интеграции их ИТ-инфраструктуры с ИТ головной компании. Назовем его аудитом перед реструктуризацией ИТ-подразделений. Основные параметры этого аудита приводятся в таблице 3.

Таблица 3.- Параметры проекта аудита перед реструктуризацией

Схема организации	Интервью. Анкетирование используется в минимальном объеме, поскольку собирается плохо структурированная информация.
Участники	Исполнители: в основном сотрудники самой компании. Опрашиваемые сотрудники: руководители ИТ-подразделений, ключевые ИТ-специалисты. Заказчики: CIO, бизнес руководство компании/компаний, в рамках которых происходит реструктуризация ИТ.
Объекты исследования	ИТ-процессы и оргструктура ИТ-подразделений. Основные используемые информационные системы.
Итоговый отчет	Тестовый формат, диаграммы (модели оргструктуры, ИТ-процессов, информационных систем). Описание текущего состояния. Заключение о степени соответствия стандарту, Рекомендации по организации ИТ после реструктуризации.

Третий тип — аудит перед внедрением информационной системы. Целью аудита является определение изменений в ИТ-инфраструктуре и информационных системах компании. Подобное обследование можно считать необходимой составляющей стратегии развития ИТ, поскольку лишь после анализа текущего состояния ИТ-инфраструктуры можно сформировать обоснованный план достижения стратегических целей. Основные параметры этого аудита приводятся в таблице 4.

Таблица 4.- Параметры проекта аудита перед внедрением информационных систем

Схема организации	Анкетирование, интервью, по результатам анкетирования, автоматизированный сбор информации. Анкеты необходимы для сбора первичной информации, интервью для ее уточнения. Степень использования анкет зависит от масштаба обследования. Полезно использовать автоматизированные системы инвентаризации ПО и АО.
Участники	Исполнители: внешняя компания (часто это компания, которая впоследствии будет выполнять внедрение крупной информационной системы). Также могут приглашаться компании, работающие в области ИТ-технологий. Опрашиваемые сотрудники: сотрудники ИТ и бизнес – подразделений (основные пользователи существующих информационных систем). Заказчики: бизнес руководство компании, руководители подразделений - заказчики внедренной информационной системы.
Объекты исследования	Состав, функциональность, взаимосвязи используемых информационных систем. Документация на ИС. Структура и процессы ИТ-подразделений, поддерживающих и развивающих используемые информационные системы.
Итоговый отчет	Тестовый формат, диаграммы (модели взаимосвязей между информационными системами, схемы ИТ-инфраструктуры и др.). Описание текущего состояния ИТ-инфраструктуры. Рекомендации по выбору и внедрению новой информационной системы.

Особо стоит упомянуть аудит перед внедрением систем управления конфигурацией или ИТ-активами. В этом случае обследование ИТ-инфраструктуры необходимо для дальнейшего внедрения автоматизированных средств ее инвентаризации и управления.

В зависимости от вида ИТ-аудита схема его организации и состав проектной команды достаточно сильно различаются. В разных форматах представляются и результаты проекта. Основные параметры этого типа аудита приводятся в таблице 5

Таблица 5.- Параметры проекта аудита перед внедрением систем управления конфигурацией или ИТ-активами

Схема организации	Узкая направленность, но большой объём собираемой информации. Основные методы: анкетирование и автоматизированный сбор информации. Структурированная информация собирается, а затем помещается в базу управления конфигурацией. Рекомендуется использование автоматизированной системы для сбора информации. В качестве такой системы, в зависимости от состава собираемой информации и ИТ-инфраструктуры системы, может быть выбрана Microsoft SMS, HP OV Enterprise Discovery, IBM Tivoli Provisioning Manager и др.
Участники	Исполнители: как правило, собственные сотрудники компании, которые используют средства автоматизации, внедренные внешней компанией. Опрашиваемые сотрудники: ИТ-специалисты подразделений, обладающие информацией об ИТ-структуре компании. Заказчики: ИТ-подразделения.
Объекты исследования	Состав и характеристика оборудования. Состав, функциональность, взаимосвязи используемых информационных систем. Состав лицензий на ПО и др. Структура и состав собираемой информации, зависящие от внедренного в компании процесса управления конфигурацией ИТ-инфраструктуры.
Итоговый отчет	База данных, содержащая информацию о структуре ИТ, которая в дальнейшем используется для управления конфигурацией ИТ-структуры в компании.

Методологическая основа проведения аудита:

•  
  •  

    • ГОСТР ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».

    • IS Standards, Guidelines and Procedures for Auditing and Control Professionals

    • COBIT 4.1 «Control Objectives for Information and related Technology».

    • Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:

    • COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.

    • ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»

    • ISO 20000 «Управление предоставлением ИТ-услуг»

    • ISO 9000 «Указания по менеджменту качества»

    • Board Briefing on IT Governance

Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

Подводя итог, можно сказать, что решение возможных проблем, возникающих при ИТ-аудите, закладывается на этапе разработки и согласования методики аудита. Также, что 50% успеха проекта обеспечивает именно детальная методика проведения аудита. Именно она определяет основные составляющие проекта: схему выполнения, участников, состав собираемых данных, результат. Поэтому этап формирования и согласования методики обследования является ключевым в любом аудите. Даже если используются типовые методики, их необходимо пересматривать и согласовывать с заказчиком работ перед каждым проектом.

Список литературы:

1. Аудит информационных систем и технологий. Материалы интернет-сайта рабочей группы ISACA. Электронный ресурс. Режим доступа: http://www.isaca.ru/audit

2. Стандарт ISO 19011 «Рекомендации по аудиту систем менеджмента качества и/или окружающей среды», 2002.

3. Weber Ron.EDP Auditing – Conceptual Foundations and Practise – UK/ Издательство «Mcgraw-Hill» 1988 – стр.22

 

Код для цитирования: Скопировать