crt-service.ru

Обзор подготовлен

версия для печати
ИТ-аудит: считаем

ИТ-аудит: считаем "скелетов в шкафах"

Эксперты уверены, что проведение аудита информационной структуры актуально не только для крупных компаний, но и для компаний среднего и малого бизнеса. И для этого существуют детально разработанные регламенты. Но следуют ли им компании на практике?

Любой аудит – это процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта. Таким образом, аудиту применительно к ИТ в компании могут подвергаться как инфраструктура в целом, так и работоспособность отдельных бизнес-процессов и систем.

Сведения о состоянии различных составляющих системы менеджмента могут собираться разными способами: в автоматическом режиме с применением систем автоматического мониторинга, а также на основе статических данных базы данных (БД) системы автоматизации процессов ITSM и посредством оценки ИТ-рисков, управления удовлетворенностью и других инструментов.

В компании "Ай-Теко Бизнес Консалтинг" считают, что наиболее полную картину заказчик получит в результате аудита на соответствие требованиям ИСО 20000. Такие аудиты должны проводиться регулярно и строго на плановой основе. Исключение могут составлять внезапные проверки конфигураций, необходимые для обеспечения информационной безопасности.

Кому необходим аудит ИТ?

Андрей Лепехин, директор группы ИТ-аудита КПМГ в России и СНГ, рассказал CNews, что в современной российской практике ИТ-аудит не опирается на какую-то единую  методологическую базу. Даже зрелые компании могут к нему не прибегать.

По словам Андрея Лепехина, все проекты ИТ-аудита можно по целям разделить на несколько основных типов. Первый тип – ИТ-аудит как средство поиска решения, когда менеджеры видят в области ИТ проблему, пытаются ее найти и исправить с помощью консультантов. По своей сути такие проекты ближе к консалтингу. Второй тип – ИТ-аудит как инструмент разведки. "Нередко при слияниях и поглощениях или при смене крупных руководящих работников на "новую территорию" первыми вступают аудиторы. Положительной тенденцией в этом направлении аудита можно считать тот факт, что все больше компаний включают ИТ в список обязательных областей исследования перед покупкой того или иного актива", – говорит он.

Третий тип – это ИТ-аудит как политический инструмент, вариант разрешения внутренних противоречий. Этот способ практикуется тогда, когда руководство компании не может принять однозначного решения по важному вопросу в области ИТ. Четвертый тип представляет собой ИТ-аудит в "чистом виде". Впрочем, Андрей Лепехин отмечает, что это не самый распространенный из встречающихся в отечественной практике видов аудита. В этой стройной системе могут быть и экзотические исключения, например, в КПМГ сталкивались требованием провести ИТ-аудит, результатом которого станет полноценная ИТ-стратегия компании сроком на 5 лет. Встречаются также смешанные типы.

Точка зрения: снаружи или изнутри?

Традиционно любой аудит разделяют на внешний и внутренний, и цели их различны. В "Ай-Теко Бизнес Консалтинг" говорят, что внутренний аудит может проводиться как сотрудниками компании, так и с привлечением внешних аудиторов (как правило, ITSM-консультантов). В результате руководство компании получит сведения о том, какие области системы менеджмента соответствуют лучшим практикам, а какие требуют коррекции. Это обеспечивает менеджмент исходными данными для совершенствования управления ИТ-подразделениями. Другим результатом внутреннего аудита является оценка готовности копании к внешнему аудиту.

Главной целью внешнего аудита является подтверждение соответствия стандарту для получения или продления сертификата. Наличие сертификата подтверждает высокий уровень управления, и соответственно, внушает доверие клиентам и партнерам. Еще одно преимущество в привлечении внешних специалистов – возможность ознакомиться и применить положительный опыт, удачные решения других компаний.

Дмитрий Бойко, руководитель диспетчерской службы «Юго-Западного банка» Сбербанка России полагает, что внедрение подходов международного стандарта лучше проводить с использованием профи "извне". "Привлекая внешних консультантов, компания получает заведомо лучше осведомленный в предметной области персонал, проводящий обучение персонала заказчика, разрабатывающий процессные документы, ролевые инструкции и внедряющий программное обеспечение", – уверен он.

Заместитель ИТ-директора "Волго-Вятского банка" Сбербанка Дмитрий Лукоянов рассказал, что несмотря на то, что банк располагает собственными аудиторами, в том числе сертифицированными BSI, он постоянно привлекает дополнительные ресурсы сторонних компаний для проведения аудита процессов ITIL. "Аудитор, являющийся сотрудником компании, не всегда может объективно оценить ту или иную ситуацию. Ведь на него влияет внутренняя среда компании, в которой он работает. Наиболее оптимально совместить проведение аудита как внешней компанией, так и силами сотрудников организации", – отметил Дмитрий Лукоянов.

Надежные тылы

Неправильно думать, что использование внешнего ресурса отменяет рост компетенции собственного персонала. "Консультанты уедут, и поддерживать внедренные процессы придется персоналу компании, поэтому наличие в компании сотрудника с квалификацией Internal Auditor ISO 2000 обязательно", – говорит Дмитрий Бойко. Достаточно сказать, что стандарт предусматривает ежегодное исполнение процедуры внутреннего аудита. Кроме того, сертифицирующий орган наносит контрольные визиты ежегодно в течение первых трех лет. Так что детальное заключение о качестве внедренных процессов руководство компании может получать дважды в год. А внутренний аудит может быть направлена на обследование компании в разрезе сервисов, включенных в каталог услуг.

Например, желая развить какое-то из направлений бизнеса, руководство компании может инициировать проведение внутреннего аудита по одному из сервисов, чтобы получить информацию о потенциальной стоимости его развития. "Это даст ответы на вопросы, какие компоненты инфраструктуры должны быть заменены как морально устаревшие, какие компетенции персонала должны быть повышены, какие из поставщиков внешних услуг могут рассматриваться как ключевые при развитии сервиса", – уточняет Дмитрий Бойко.

Как часто проводить аудит?

Эксперты рекомендуют проводить аудит с привлечением внешней компании два раза в год. "Эта периодичность позволяет, с одной стороны, достаточно быстро реагировать на возникающие негативные тенденции в развитии системы управления, с другой – стороны дает время на внедрение необходимых изменений, оптимально задействуя ИТ-персонал", – говорит Дмитрий Лукоянов. Но, конечно, выбор частоты индивидуален для каждого случая.

В компании "Аутсорсинг 24" рассказали, что представители крупного бизнеса, как правило, непрерывно ведут внутренний процесс оценки и контроля ИТ, сочетая его с привлечением внешней консалтинговой компании. Основные задачи подобных аудитов – это выявление рисков, связанных с неэффективными процессами в работе ИТ, а также анализ соответствия этих процессов международным (например, CobiT) или корпоративным стандартам.

При этом, по опыту "Аутсорсинг 24", в крупных компаниях периодически возникает потребность провести технологический аудит в конкретных, узкоспециализированных областях, например аудит систем хранения данных, сетевой безопасности, телефонии. Такую работу выполняет, как правило, внешняя ИТ-компания под контролем внутренних и внешних аудиторов. Последние контролируют технологический аудит на процессном уровне, чтобы выполнение внешних рекомендаций не привело к неконтролируемому увеличению рисков.

Представители малого и среднего бизнеса (к таковым "Аутсорсинг 24" относит компании с штатом до 1 тыс. человек), как правило, не имеют ресурсов для организации непрерывного процесса внутреннего ИТ-аудита. Им имеет смысл проводить комплексный внешний аудит, в котором анализируется не только состояние ИТ-процессов, но и исследуется ИТ-инфраструктура с технологической точки зрения.

Новый, старый или "для понта"

Специалисты компании "Микротест" делят все предприятия на "зрелые" и "незрелые" с точки зрения ведения бизнеса. Первые целенаправленно ищут узкие места в ИТ-инфраструктуре для решения реальных задач. Вторая группа – заказчики ИТ-аудита как имиджевого проекта, который позволяет подчеркнуть статус.

Если целью является имидж, то смена поставщика услуг ИТ-аудита становится все менее вероятной. Если компания прошла внешний аудит один раз, то, скорее всего, она закажет следующий аудит у тех же консультантов, чтобы новый проект по аудиту состоялся с минимальными усилиями от заказчика и максимальной вероятностью положительного результата аудита. "Можно считать, что на практике так происходит в 80% проектов ИТ-аудита", – говорят в "Микротесте".

Как рассказал CNews ИТ-директор одной из крупных компаний Северо-Запада, занимающейся девелопментом складской недвижимости, а также предоставляющей услуги хранения и логистические услуги, в его компании ситуация сложилась как раз по такому сценарию. "Владельцы бизнеса целенаправленно готовили компанию к продаже, так что трижды аудит производился одним и тем же подрядчиком. Используя этот прием, они добились того, что результаты последнего аудита оказались максимально позитивными", – рассказал ИТ-директор, по понятными причинам пожелавший остаться неназванным.

Между тем, крупные компании, работающие на рынке аудита, знают о такой особенности и учитывают ее в своей работе. "Если компания принимает рекомендованный нами путь развития, мы теряем возможность проводить подобные аудиты для этого клиента в будущем. Мы уже не можем быть беспристрастными в суждениях. Но мы можем помогать в реализации предложенных нами решений", – признали в "Аутсорсинг 24".

А в "Ай-Теко", напротив, считают, что в компаниях, недавно внедривших системы управления услугами в соответствии с ИСО 2000 и имеющих не самую высокую степень соответствия его требованиям, аудитор, осуществляющий повторные проверки, может оказаться полезнее, так как он лучше знает состояние компании и не потратит время на ее изучение. А вот для компаний, много лет работающих по стандарту и активно занимающихся совершенствование систем менеджмента, новый аудитор может оказаться полезнее.

Анастасия Волкова

Toolbar | КПК-версия | Подписка на новости  | RSS