Проводимо ІТ аудит?

Вступ: що таке ІТ аудит?
Тема ІТ аудиту стає все більш популярною в широких колах, давайте внесемо ясність, що ж таке «Аудит в ІТ».
В якій ситуації будь-хто замислюється проводити ІТ аудит?
Зазвичай це:
• На роботу прийшов новий генеральний директор (проводиться загальний аудит), ІТ-директор,
• Керівництво не зовсім розуміє, що відбувається в ІТ відділі і на що йдуть гроші?
• Хто-то кому-то не довіряє, хочеться погляду на проуесс з боку,
• Хочеться перевірити, чи все «правильно» робиться в ІТ?
• У деяких випадках закон зобов’язує проводити незалежну оцінку ІТ, наприклад, на предмет безпеки ІТ систем.
Які зазвичай цілі переслідуються при проведенні ІТ аудиту:
• Отримання незалежної авторитетної інформації про роботу ІТ,
• Отримання авторитетної оцінки на відповідність яким-небудь нормам і правилам,
• Отримання експертної думки,
• Дотримання вимог законів.
Для кожної цілі можуть бути свої моделі і способи проведення ІТ-аудиту. Таким чином необхідно кожен раз уточнювати, що мається на увазі і який зміст стоїть за словами «Проведення ІТ-аудиту».
За окремими напрямами вже існують стандарти, групи і асоціації ІТ аудиторів, але по багатьом ще потрібно почекати «зрілості спільнот» і появи стандартів.
Так як при проведенні ІТ аудиту набагато більше значить «хто проводить», ніж «як» і за якою схемою, то часту керівники підприємств звертаються саме до тих, кому довіряють, з проханням – «подивіться, як у мене справи з ІТ?». Відзначимо, що часто така позиція виправдана:
• Виконавець знайомий з Замовником, його бізнесом, основними цілями і ризиками бізнесу,
• Його думку авторитетно, отже результати можуть бути використані,
• Розмову з замовником буде на «одній мові», що скорочує у кілька разів терміни і бюджет проекту.
Чого чекати від результатів аудиту?
Для якої б цілі не проводився ІТ аудит, він повинен досягти результату. Звіт аудитора має бути насамперед доказовий. Як правило, у звіті містяться рекомендації, що теж важливо, і часто саме рекомендації є метою ІТ аудиту.
Адже метою повинна бути фіксація поточних результатів і розуміння напрямку руху вперед. Аудит – це не вотум недовіри ІТ службі підприємства, а ознака управлінської зрілості команди.
Короткий огляд моделей ІТ аудиту
Як вже говорилося раніше, вибір конкретної моделі залежить від цілей проведення ІТ-аудиту.
Аудит – «Все правильно?» («як треба?»)
У строгому розумінні слова, аудит можливий лише на відповідність чого-небудь.
Наприклад, аудит ІТ проекту проводиться на предмет відповідності нормам, зазначеним у Статуті проекту, і регламентам організації Замовника. Яких-небудь єдиних для всіх норм з приводу того, як впроваджувати ІТ проекти – не існує, всі носять рекомендаційний характер.
Якщо затверджених у проекті норм немає – то слід говорити скоріше про ЕКСПЕРТИЗУ проекту.
Теж саме відноситься і в цілому до управління ІТ в організації. Обов’язкових для всіх норм – не існує. Щоразу, проводячи ІТ аудит, ви повинні вибрати «модель», яку вважаєте еталоном, і порівнювати з нею.
Приклади таких моделей: (але кожна з яких вимагає адаптації і має свої межі застосовності) ГОСТ 34.хх, COBIT, ISO 12207, ISO 9001, ISO 20000 і т. д.
Аудит: можна ефективніше?
Як правило, моделі ІТ аудиту з такою метою ґрунтуються на оцінці ризиків або ж на експертизі аудитора в якій-небудь конкретній області.
Якщо у замовника є сумніви в чому-небудь, це можна представити у вигляді ризиків. Слід зауважити, що управління на основі ризиків вимагає досить просунутого і специфічного менеджменту, що така модель не сильно поширена не тільки у нас, але і на заході. У теж час, часто проводять аудит з метою зниження якого-небудь одного ключового ризику. Всі пам’ятають епопею з ІТ аудитом «проблема 2000».
Аналогічно з ефективністю: як правило, мова йде про одну або двох статтях в бюджеті, і увага аудитора залучають конкретно до них. У таких питаннях частіше звертаються до експертизи.
Основні етапи аудиту
Фактично, проведення будь-якого ІТ аудиту складається приблизно з наступних етапів:
• Уточнення цілей та узгодження процедур проведення ІТ-аудиту,
• Проведення обстеження та документування
• Проведення перевірок
• Складання рекомендацій і формування звіту.
Як правило, для проведення таких робіт використовують інтерв’ювання, аналіз наявних документів. У Виконавця є своя база перевірочних питань для визначення реального стану справ у рамках обраної моделі.
На що треба звернути увагу?
Найголовніше – це чітко визначити мету проведення ІТ-аудиту, записати їх і обговорити з аудитором як цілі, так і стратегію проведення аудиту.
Організації необхідно заздалегідь спланувати саму можливість проведення аудиту. На практиці часто стикаються з такими банальними проблемами, як угода про конфіденційність. Для отримання формального доступу до документації часто необхідно згоду розробника, якщо не в 99% випадках. Дуже рідко підприємства передбачають таку можливість в договірній документації, скорочуючи свої можливості у майбутньому.
Таким чином, питання, «хто проводить» ІТ аудит є одним з основних. Не досить вибрати відомий бренд, потрібно вибирати тих фахівців, яким ви довіряєте. Основну цінність тут становлять особисті знання і досвід аудиторів.
Аудит процесів ITSM.
При проведенні аудиту процесів ITSM часто використовують власні методики, засновані на ITIL, або ж модель CobiT, стандарт ISO 20 000, або моделі вендорів.
Зазвичай, аудит процесів ITSM використовується для обґрунтування та розуміння подальших шляхів розвитку, виправлення помилок. Або ж як плановий захід.
У більшій частині випадків, такі аудити проводяться при зміні керівництва, керуючих компаній, кризи в управлінні.
Не дарма проекти впровадження ITSM відносяться до складної категорії, найчастіше, лише насилу працює служба Service Desk на дуже дорогому програмному забезпеченні, і складні інструкції, написані консультантами, які не мають достатнього досвіду.
Аудит процесів ITSM в організації з застосуванням формальних моделей гарний як регулярне, спочатку запланований захід. Коли проект планомірно розвивається кілька років.
У проектах такого роду величезне значення має правильно відбудоване ставлення з бізнесом, правильна мотивація ІТ персоналу і всієї команди. В ITIL наводиться оцінка, що «м’які» (не пов’язані з технікою) фактори визначають успіх проекту на 70%. І вже точно, застосування формальних підходів аудиту має мало сенсу, де не поширена сама концепція ITSM. Результати такого аудиту можна написати ще до його проведення.
Не стандартні варіанти проведення аудиту
Часто ІТ аудит проводять не «широким фронтом», а для вирішення конкретних завдань сьогоднішнього дня.
При веденні великого проекту, іноді фірму аудитора залучають для роботи в регулярному режимі. Це призводить до розрахункового подорожчання проекту на 5-10%, але різко знижує ризики проекту. Тобто за фактом, знижує сукупну вартість проекту. Вкрай рідкісні випадки перевищення бюджету, а якщо аудитор отримує преміальні від економії бюджету – то його зусилля завжди виправдовуються.
Буває, не вистачає інформації для обґрунтування великого проекту або проведення великих змін у проекті. У деяких випадках обґрунтувати аудит простіше, ніж проект підготовки техніко-економічного обґрунтування. Аудитор може надати реальну інформацію і рекомендувати потрібний для організації проект, навіть не підозрюючи про такий мети аудиту.
Проведення аудиту можливо також для цілей зміни, дублювання підрядника. Складні проекти або послуги виконуються великими командами фахівців, і швидко замінити команду завжди є вкрай серйозною проблемою. При зміні команди завжди є великий ризик різкого «спаду продуктивності», якщо вже оголошено про зміну складу. Проведення аудиту дає можливість новим співробітникам підготується до роботи, беручи участь в аудиті, і виключити фактор «демотивації» попередньої команди в проекті.
Зниження невдоволення користувачів ІТ послугами. Найчастіше, ІТ директор не має достатньо авторитету в організації порівняно з її ключовими менеджерами. Якщо назріває конфлікт, то має сенс залучити «авторитет» зі сторони.
Джерело: ІТ компанія acomIT – послуги ІТ аудиту