ИТ-УСЛУГИ
Рынок ИТ-аудита в России сегодня настолько мал, что эксперты затрудняются оценить его величину даже приблизительно. Но он все-таки существует, и специалисты, работающие на нем, сталкиваются с целым рядом довольно сложных проблем как методического, так и психологического характера. Одна из психологических проблем состоит в том, что в идеале ИТ-аудитор должен быть независимым лицом (как от ИТ-подразделения, так и от бизнес-структур проверяемой компании), в противном случае он вольно или невольно будет защищать интересы той или другой стороны, а следовательно, рассчитывать на то, что результаты проверки будут объективны, нельзя. Вместе с тем любое независимое проверяющее лицо воспринимается как чужое, даже враждебное, действия которого могут вызывать определенное (явное или скрытое) сопротивление со стороны сотрудников компании, что затрудняет проведение аудита. К проблемам методического характера в первую очередь следует отнести тот факт, что в отличие от финансового аудита, который довольно сильно регламентирован соответствующим российским законодательством, ИТ-аудит никак не подкреплен нормативно со стороны государства. Это означает отсутствие общих критериев оценки как уровня развития информационной системы компаний и предприятий и ее соответствия бизнес-задачам, так и качества проведенного аудита (что, в свою очередь, не позволяет сделать процедуру проверки прозрачной и понятной обеим сторонам). В этих условиях компании, занимающиеся ИТ-аудитом, заявляют о необходимости сравнивать состояние ИТ на предприятии с "лучшими практиками", а также с уже существующими открытыми стандартами (ISO, CoBit и др.).
| В идеале ИТ-аудитор должен быть независимым лицом (как от ИТ-подразделения, так и от бизнес-структур проверяемой компании), в противном случае он вольно или невольно будет защищать интересы той или другой стороны, а следовательно, рассчитывать на то, что результаты проверки будут объективны, нельзя. |
Эти и ряд других проблем, имеющих для специалистов, работающих на рынке ИТ-аудита, важное значение, и рассматривались на заседании секции "ИТ-аудит как инструмент доверия CIO и бизнеса", проходившем в рамках недавно прошедшего Форума CIO.
Основными целями проведения ИТ-аудита, по мнению Сергея Катышева, консультанта IBM Global Technology Services, считаются, как правило, рассмотрение текущего положения дел в компании в плане использования ИТ и разработка рекомендаций по его улучшению. В качестве ИТ-аудита в России сегодня заказываются такие виды работ, как инвентаризация ПО и технических средств компании, анализ их работы, проверка организационной структуры и рабочих процессов ИТ-подразделения, анализ соответствия задействованных ИТ-продуктов задачам бизнеса, проверка информационной безопасности бизнеса и сертификация компании на соответствие существующим открытым стандартам по использованию ИТ в бизнесе.
На самом деле, как пояснил Сергей Катышев, все перечисленное выше - это работы по обследованию и анализу ИТ, а не собственно ИТ-аудит. Согласно определению Ассоциации аудита и контроля информационных систем (ISACA), ИТ-аудитом называется системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, который устанавливает уровень соответствия этих данных определенным критериям и предоставляет результаты заказчику.
Для достижения этой цели российские ИТ-аудиторы задействуют различные методики, наиболее популярными из которых являются ITIL/ITSM, CoBIT, ISO 20000, ISO 17799 (27000). При этом, отметил Сергей Катышев, для российской действительности характерна ситуация, когда сам клиент имеет смутное представление о том, что он получит в результате аудита по той или иной конкретной методике, и не всегда задумывается, какого уровня специалисты могут потребоваться для проведения такой работы (консультант, ИТ-архитектор или же специалист в конкретной предметной области - серверы, операционные системы, СУБД и т. д.).
Согласно модели CoBit, разработанной ISACA, в ИТ выделяется 34 процесса, из которых десять относятся к планированию и организации ИТ, семь - к проектированию и внедрению, тринадцать - к эксплуатации и сопровождению и четыре процесса - к мониторингу ИС. Для оценки соответствия процессов (или, как их называют в рамках CoBit, "компетенций") сформулировано 215 показателей, или параметров контроля, в их числе, в частности, показатели достижения результата и показатели производительности.
В процессе аудита решается несколько основных задач. Во-первых, это аудит эффективности контроля процессов ИТ, с его помощью определяется, что установленные меры и процедуры контроля обеспечивают достижение требуемых показателей. Во-вторых - аудит исполнения мер и процедур контроля, который помогает установить, что необходимые меры и процедуры контроля работают именно так, как это описано в руководящих документах, в постоянном режиме и в полном объеме. В-третьих, в ходе аудита решается задача анализа рисков в тех областях, где выявлена недостаточность мер контроля. И последняя задача - выдача рекомендаций по принятию определенных мер, направленных на снижение рисков.
Помимо проведения внешних аудитов, по мнению консультанта IBM Global Technology Services, компаниям стоит задуматься и об организации службы внутреннего аудита. Основные задачи этой службы нацелены на минимизацию следующих рисков: риск несоблюдения требований законодательства, риск неисполнения установленных процессов и процедур, риск обмана со стороны сотрудников - а кроме того, состоят в консультировании, проведении специальных проверок (при слиянии, изменении организационной структуры и бизнес-процессов и т. д.), отслеживании изменений в нормативной базе и оценке их влияния на организацию.
| Порой ИТ-аудит может стать инструментом решения неких внутренних политических задач компании, таких как запуск определенного ИТ-проекта или устранение ставшего по каким-либо причинам неугодным ИТ-директора. |
Алексей Лелеков, управляющий партнер компании "5-55", выделил два типа проектов в области ИТ-аудита: первый - c целью оптимизации плана внедрения ITIL (критичные области, очередность, бюджет), второй - c целью подготовки к проведению внешних аудитов. Как известно, ITIL (Information Technology Infrastructure Library) - это библиотека, описывающая лучшие из применяемых на практике способов (так называемых "лучших практик" - best practiсe) организации работы ИТ-подразделений или ИТ-компаний. Использованный в библиотеке процессный подход, соответствующий стандартам серии ISO 9000 (ГОСТ Р ИСО 9000), акцентирует внимание компании на достижении поставленных целей, а также на ресурсах, затраченных на их достижение. Считается, что процессный подход не имеет себе равных в обеспечении оценки и управляемости деятельности компании (что, собственно, и сделало его таким популярным). Наиболее известная часть ITIL - ITSM (IT Service Management) - включает несколько процессов, обеспечивающих поддержку и предоставление ИТ-сервисов (управление инцидентами, проблемами, конфигурациями, изменениями, получением и установкой новых версий, уровнем сервиса, финансами, мощностью, непрерывностью и доступностью ИТ-сервисов).
Основными результатами обследования компании должны стать выявление узких мест в ИТ с точки зрения бизнес-пользователей, оценка эффективности использования информационных технологий с позиции руководства ИТ-подразделения, сопоставление с эталонными моделями ("лучшими практиками") постановки ИТ в других компаниях и, самое главное, разработка перечня возможных улучшений бизнес-процессов компании на основе использования ИТ. Реализация проектов по ИТ-аудиту, считает г-н Лелеков, приносит бизнесу несомненную пользу, поскольку способствует, в частности, росту эффективности работы по улучшению деятельности компании и уменьшению связанных с этим затрат.
Вместе с тем, по мнению ряда участников секции, ИТ-аудит сегодня не всегда проводится для оценки состояния ИТ в компании (кстати, многие ИТ-аудиторы предпочитают именно этот термин для своей деятельности - "оценка", а не "аудит"). Порой он может стать инструментом решения неких внутренних политических задач компании, таких как запуск определенного ИТ-проекта или устранение ставшего по каким-либо причинам неугодным ИТ-директора.
