ИТ-аудит

ИТ-аудит — понятие в России относительно новое, поэтому трактуют его по-разному. По аналогии у многих руководителей российских предприятий представление об ИТ-аудите отождествляется  с финансовым аудитом в области ИТ и в какой-то мере с ИТ-консалтингом. В то же время, ИТ-аудит (или аналитическое обследование) нередко используется для  других целей, как первый шаг при «наведении порядка» в сфере ИТ: для разработки ИТ-стратегии, управления стоимостью обслуживания и владения информационными системами, при проведении анализа рисков, при создании конфигурационной базы данных ИТ-ресурсов и разработке процедур контроля изменений.

В специализированной прессе нередко приводится следующее определение: «Процедура аудита (обследования) сферы информационных технологий в компании предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии в сфере ИТ, о рисках, связанных с «проблемными зонами» информационных подсистем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем».

Целями проведения ИТ-аудита могут, в частности, выступать:

• анализ используемых ИТ-решений на соответствие требованиям бизнеса компании; организация информационной системы, адекватной задачам бизнеса;
• оценка информационной системы предприятия на функциональную полноту и соответствие международным стандартам; оценка системы по нефункциональным критериям;
• анализ процессов разработки и внедрения информационных систем; процессов сопровождения и технической поддержки;
• оценка совокупной стоимости владения и возврата инвестиций в ИТ;
• анализ проблем в информационной системе и предложенных решений.

ИТ-аудит может являться первым этапом при решении задач оптимизации затрат и снижения рисков ИТ-проектов, при проведении аудита системы информационной безопасности и др.

Аудитор – угроза или спасение?

Довольно редко проведение ИТ-аудита является инициативой руководителя ИТ-службы. Обычно это происходит в случае возникновения явного конфликта руководителя ИТ-службы и руководства компании: руководитель ИТ-службы долго и безуспешно пытается доказать, что если должным образом не инвестировать ИТ, то вскоре это станет преградой для развития бизнеса. Реакция руководства компании категорична: «Вам сколько денег ни дай, все мало». Поэтому руководителем ИТ-службы может быть инициирован внешний ИТ-аудит, в процессе которого аудиторы становятся арбитрами в затянувшемся споре.

В большинстве случаев сотрудники ИТ-служб относятся к процедуре аудита крайне настороженно. Сотрудник ИТ-службы, как и любой нормальный человек, настороженно относится к проверке своей работы и не любит, когда ему указывают на его ошибки, даже если он сам о них знает.

Почему сотрудники компаний боятся аудита и насколько оправданы их опасения? Очевидно, что природа страхов руководителей и рядовых сотрудников ИТ-служб в корне различна. Руководство, как правило, опасается, что информация о возможных проблемах в их подразделении станет доступна посторонним. Еще одним опасением (и часто не без основания) является неуверенность в том, что аудит принесет какие-либо реальные плоды. Для рядовых же сотрудников ИТ-служб аудит часто представляется неким кнутом, которое руководство собирается использовать для наказания ни в чем не повинных работников. При таком отношении к аудиту сотрудники будут всячески мешать его проведению, скрывая реальную информацию или предоставляя ее в виде, который считают наиболее выгодным для себя.

Как показывает практика, целесообразно разбивать процесс аудита на этапы длительностью порядка 10 дней – в этом случае задачи могут быть сформулированы более конкретно, и польза от аудита будет ощутимее. При этом на начальном этапе всегда лучше сделать первичное обследование, которое поможет в общих чертах оценить текущее состояние дел в сфере ИТ, определить основные проблемы и расставить приоритеты их решения. На последующих этапах уже можно будет заняться более подробным анализом выявленных проблем и выработкой конкретных предложений по их устранению. При таком подходе заказчик ИТ-аудита получает возможность выбора для каждого этапа работ аудитора, обладающего наибольшим опытом в решении конкретного типа проблем. А чтобы обезопасить внутреннюю информацию от возможных утечек при проведении аудита, достаточно внимательно отнестись к выбору организации, проводящей аудит. Любая организация на рынке ИТ-услуг, много лет подряд занимающаяся вопросами аудита, сама крайне заинтересована в недопущении таких утечек. В противном случае ее репутация может быть безвозвратно испорчена.

Теперь, когда, как мы надеемся, основные опасения по поводу аудита развеяны, попробуем резюмировать основные выгоды, которые может получить организация от проведения ИТ-аудита:

• «прозрачное» описание структуры ИТ-службы и решаемых ею задач;
• рекомендации по использованию ИТ-ресурсов (как технологических, так и человеческих);
• рекомендации по решению технологических проблем;
• рекомендации по обеспечению информационной безопасности.

Даже если в момент завершения аудита у предприятия отсутствуют ресурсы для выполнения всех рекомендаций, наличие стратегического плана развития ИТ обязательно пригодится в долгосрочной перспективе.

По материалам Connect! №6, 2006