Си­ту­а­ция, когда пред­ло­же­ние о про­ве­де­нии ИТ-ауди­та в ком­па­нии не на­хо­дит под­держ­ки у на­чаль­ства, зна­ко­ма мно­гим ди­рек­то­рам ИТ-служб. Это объ­яс­ня­ет­ся тем, что у ру­ко­вод­ства нет чет­ко­го по­ни­ма­ния, для каких целей он нужен и какие вы­го­ды по­лу­чит в результате.

050_1ИТ-аудит яв­ля­ет­ся ча­стью об­ще­го тех­ни­че­ско­го ауди­та пред­при­я­тия, от­но­ся­щей­ся непо­сред­ствен­но к кон­тро­лю функ­ци­о­ни­ро­ва­ния ин­фор­ма­ци­он­ных тех­но­ло­гий. Под тех­ни­че­ским ауди­том обыч­но по­ни­ма­ют про­вер­ку неза­ви­си­мы­ми спе­ци­а­ли­ста­ми при­ме­ня­е­мых на пред­при­я­тии тех­ни­че­ских ре­ше­ний и вы­во­ды от­но­си­тель­но обос­но­ван­но­сти дан­ных ре­ше­ний и со­от­вет­ствия ин­фор­ма­ци­он­ных си­стем и про­цес­сов тре­бо­ва­ни­ям нор­ма­тив­ных актов.

В Рос­сии си­ту­а­ция с нор­ма­тив­ны­ми ак­та­ми в об­ла­сти ИТ-ауди­та неод­но­знач­на. Су­ще­ству­ет фе­де­раль­ный закон «Об ауди­тор­ской де­я­тель­но­сти», ко­то­рый до­ста­точ­но по­дроб­но ре­гла­мен­ти­ру­ет ос­нов­ные от­но­ше­ния в сфере фи­нан­со­во­го ауди­та, од­на­ко пол­но­стью иг­но­ри­ру­ет даже само по­ня­тие спе­ци­аль­но­го, в том числе тех­ни­че­ско­го, ауди­та.

Воз­мож­но, из-за по­доб­ной неопре­де­лен­но­сти пра­во­вой базы у неко­то­рых рос­сий­ских ком­па­ний до сих пор оста­ет­ся пред­став­ле­ние об ИТ-ауди­те как о фи­нан­со­вом ауди­те в об­ла­сти ин­фор­ма­ци­он­ных тех­но­ло­гий. ИТ-ауди­то­ров оши­боч­но вос­при­ни­ма­ют как людей, ко­то­рые  за­ни­ма­ют­ся пе­ре­сче­том ком­пью­те­ров и срав­не­ни­ем по­лу­чен­ных ре­зуль­та­тов с ко­ли­че­ством, про­хо­дя­щим по бух­гал­те­рии. Но ИТ-аудит дол­жен ис­поль­зо­вать­ся для дру­гих целей — это эф­фек­тив­ный ин­стру­мент при на­ве­де­нии по­ряд­ка в сфере ин­фор­ма­ци­он­ных тех­но­ло­гий. Он поз­во­ля­ет гра­мот­но оце­ни­вать воз­мож­ные риски, про­гно­зи­ро­вать сбои, оп­ти­ми­зи­ро­вать ра­бо­ту ИТ-под­раз­де­ле­ния и ре­шать мно­гие дру­гие за­да­чи.

Из-за от­сут­ствия в рос­сий­ском за­ко­но­да­тель­стве чет­ких ука­за­ний в об­ла­сти ИТ-ауди­та боль­шин­ство ком­па­ний опи­ра­ют­ся при его про­ве­де­нии на здра­вый смысл, меж­ду­на­род­ные стан­дар­ты и «луч­шие прак­ти­ки», такие как Control Objectives for Information and related Technology (COBIT) и IT Infrastructure Library (ITIL). ИТ-аудит в ITIL яв­ля­ет­ся важ­ной ча­стью про­цес­са непре­рыв­но­го улуч­ше­ния ка­че­ства ИТ-услуг (Continual Service Improvement), клю­че­во­го про­цес­са в управ­ле­нии ИТ. Для ком­па­ний, ко­то­рые пла­ни­ру­ют стро­ить про­зрач­ную ИТ-ин­фра­струк­ту­ру,чтобы, на­при­мер, по­вы­сить свою цен­ность при вы­хо­де на IPO, ис­поль­зо­ва­ние ме­то­до­ло­гии ITIL и про­ве­де­ние ИТ-ауди­та яв­ля­ет­ся необ­хо­ди­мым усло­ви­ем.

По­сто­ян­ное улуч­ше­ния ка­че­ства об­слу­жи­ва­ния в ITIL пред­по­ла­га­ет внед­ре­ние в ор­га­ни­за­ции цик­ли­че­ско­го про­цес­са, вклю­ча­ю­ще­го выбор объ­ек­тов из­ме­ре­ния; опре­де­ле­ние того, что можно из­ме­рить; сбор дан­ных; их об­ра­бот­ку; ана­лиз; предо­став­ле­ние и ис­поль­зо­ва­ние ин­фор­ма­ции и кор­рек­ти­ру­ю­щие воз­дей­ствия. Пер­вые шесть шагов и опре­де­ля­ют про­цесс ИТ-ауди­та.

Ти­пич­ной же ошиб­кой при его про­ве­де­нии яв­ля­ет­ся по­пыт­ка на­чать с опре­де­ле­ния со­ста­ва ауди­тор­ских про­ве­рок, то есть про­пу­стить в пред­став­лен­ном выше спис­ке пер­вый пункт, сразу пе­рей­дя ко вто­ро­му. На самом деле клю­че­вым мо­мен­том при про­ве­де­нии ауди­та яв­ля­ет­ся имен­но выбор объ­ек­та ауди­та.

Вы­би­ра­ем аудит

Аудит ИТ-ин­фра­струк­ту­ры в целом может за­тя­нуть­ся на несколь­ко ме­ся­цев и по за­вер­ше­нии не от­ра­жать адек­ват­но дей­стви­тель­ность, так как со­сто­я­ние ИТ-ин­фра­струк­ту­ры по­сто­ян­но ме­ня­ет­ся. По­это­му более про­грес­сив­ным под­хо­дом можно счи­тать ре­гу­ляр­ные спе­ци­а­ли­зи­ро­ван­ные ИТ-ауди­ты.

Опе­ра­ци­он­ный ИТ-аудит за­клю­ча­ет­ся в об­зо­ре зна­че­ний общих па­ра­мет­ров функ­ци­о­ни­ро­ва­ния ИТ-ин­фра­струк­ту­ры на раз­лич­ных уров­нях: сеть, опе­ра­ци­он­ная си­сте­ма, си­стем­ное про­грамм­ное обес­пе­че­ние, при­клад­ное ПО, ра­бо­чие про­цес­сы, крип­то­гра­фия и т.д.

Аудит раз­ме­ще­ния ИТ-ре­сур­сов пред­по­ла­га­ет обзор зда­ний, сер­вер­ных по­ме­ще­ний, в ко­то­рых раз­ме­ще­ны ИТ-ре­сур­сы, вклю­чая такие ас­пек­ты, как фи­зи­че­ская без­опас­ность (стены, ви­део­на­блю­де­ние, замки, охра­на, про­це­ду­ры входа и т.п.), кон­троль окру­же­ния (за­щи­та от по­жа­ра и про­те­чек, элек­тро­пи­та­ние, кон­ди­ци­о­ни­ро­ва­ние), си­сте­мы управ­ле­ния, ИТ-обо­ру­до­ва­ние.

При ауди­те раз­ра­ба­ты­ва­е­мой ИТ-си­сте­мы осу­ществ­ля­ют­ся кон­троль управ­ле­ния про­ек­том (часто ауди­тор яв­ля­ет­ся един­ствен­ным че­ло­ве­ком, зна­ния, опыта и сме­ло­сти ко­то­ро­го до­ста­точ­но, чтобы ука­зать на то, что отчет по ходу про­ек­та нере­а­ли­сти­чен) и спе­ци­фи­ка­ция, раз­ра­бот­ка, те­сти­ро­ва­ние, внед­ре­ние тех­ни­че­ских и про­це­дур­ных ауди­тор­ских про­ве­рок, вклю­чая клас­си­че­ские про­вер­ки ин­фор­ма­ци­он­ной без­опас­но­сти раз­ра­ба­ты­ва­е­мой си­сте­мы и со­от­вет­ству­ю­щие про­вер­ки биз­нес-про­цес­сов.

Аудит управ­ле­ния ИТ вклю­ча­ет в себя обзор ор­га­ни­за­ци­он­ной струк­ту­ры, стра­те­гии, пла­ни­ро­ва­ния работ, ре­сур­сов, бюд­же­ти­ро­ва­ния, кон­тро­ля за­трат и т.д. и, если при­ме­ни­мо, аудит вза­и­мо­от­но­ше­ний с внеш­ни­ми по­став­щи­ка­ми ИТ-услуг (в неко­то­рых слу­ча­ях аудит дан­ных ас­пек­тов могут про­во­дить фи­нан­со­вые ауди­то­ры, остав­ляя ИТ-ауди­то­рам более тех­ни­че­ские ас­пек­ты).

Под ауди­том ИТ-про­цес­сов по­ни­ма­ют обзор про­цес­сов, ко­то­рые про­ис­хо­дят внут­ри ИТ-де­пар­та­мен­та, такие как раз­ра­бот­ка при­ло­же­ний, те­сти­ро­ва­ние, внед­ре­ние, вы­пол­не­ние опе­ра­ций, об­слу­жи­ва­ние, ре­зерв­ное ко­пи­ро­ва­ние, под­держ­ка, об­ра­бот­ка ин­ци­ден­тов и т.д.

Не сек­рет, что боль­шин­ство сбоев в ра­бо­те ИТ-ин­фра­струк­ту­ры свя­за­но с несо­гла­со­ван­ны­ми из­ме­не­ни­я­ми. Аудит управ­ле­ния из­ме­не­ни­я­ми — это обзор пла­ни­ро­ва­ния и кон­тро­ля из­ме­не­ний в су­ще­ству­ю­щих си­сте­мах, сетях, при­ло­же­ни­ях, про­цес­сах и т.д.

Аудит ин­фор­ма­ци­он­ной без­опас­но­сти под­ра­зу­ме­ва­ет вы­пол­не­ние про­ве­рок, от­но­ся­щих­ся к кон­фи­ден­ци­аль­но­сти, це­лост­но­сти и до­ступ­но­сти си­стем и дан­ных. Аудит ле­галь­но­сти ИТ-ре­сур­сов — это про­вер­ка ис­поль­зу­е­мых ли­цен­зий про­грамм­но­го обес­пе­че­ния, за­щи­ты пер­со­наль­ных дан­ных, со­от­вет­ствия тре­бо­ва­ни­ям ре­гу­ли­ру­ю­щих ор­га­нов.

К спе­ци­а­ли­зи­ро­ван­ным ауди­там также можно от­не­сти аудит устой­чи­во­сти ИТ-ин­фра­струк­ту­ры к сбоям и ка­та­стро­фам и «спе­ци­аль­ные рас­сле­до­ва­ния», вклю­ча­ю­щие ауди­тор­ские про­вер­ки, вы­пол­ня­е­мые для вы­яс­не­ния сло­жив­шей­ся си­ту­а­ции в ИТ, свя­зан­ной, на­при­мер, с по­гло­ще­ни­ем новой ком­па­нии и необ­хо­ди­мо­стью сли­я­ния ИТ-ин­фра­струк­тур, «раз­бо­ра по­ле­тов» и т.д.

Чтобы вы­брать тип ИТ-ауди­та или его объ­ект, оце­ни­ва­ют по­тен­ци­аль­ные риски функ­ци­о­ни­ро­ва­ния ИТ-ин­фра­струк­ту­ры. Для этого можно ис­поль­зо­вать одну из мно­же­ства фор­маль­ных про­це­дур оцен­ки рис­ков или же про­ана­ли­зи­ро­вать угро­зы и воз­мож­ные си­ту­а­ции, ко­то­рые могут при­ве­сти к убыт­кам, и найти уяз­ви­мые места ИТ-ин­фра­струк­ту­ры. Риски в первую оче­редь за­ви­сят от те­ку­щей си­ту­а­ции на пред­при­я­тии. На­при­мер, для пред­при­я­тия, ко­то­рое пла­ни­ру­ет в бли­жай­шем бу­ду­щем су­ще­ствен­но уве­ли­чить ко­ли­че­ство со­труд­ни­ков, се­рьез­ным риском будет неспо­соб­ность су­ще­ству­ю­щей ИТ-ин­фра­струк­ту­ры вы­дер­жать зна­чи­тель­ное уве­ли­че­ние ко­ли­че­ства об­ра­ба­ты­ва­е­мых за­про­сов. В этом слу­чае можно по­ре­ко­мен­до­вать про­ве­де­ние опе­ра­ци­он­но­го ИТ-ауди­та.

Важ­ным мо­мен­том при про­ве­де­нии ауди­тор­ских про­ве­рок яв­ля­ет­ся ис­поль­зо­ва­ние средств ав­то­ма­ти­за­ции. В слу­чае пол­но­го от­сут­ствия в ор­га­ни­за­ции ин­стру­мен­тов ав­то­ма­ти­за­ции сбора ин­фор­ма­ции для ауди­та ре­гу­ляр­ное про­ве­де­ние ауди­тор­ских про­ве­рок будет до­ста­точ­но до­ро­го­сто­я­щим ме­ро­при­я­ти­ем. В на­сто­я­щее время на рынке су­ще­ству­ет мно­же­ство про­грамм­ных средств, об­лег­ча­ю­щих ком­па­ни­ям про­ве­де­ние ИТ-ауди­та, таких как ACL, IDEA, IBM Tivoli Compliance Insight Manager и др. Внед­ре­ние по­доб­ных средств поз­во­ля­ет про­во­дить боль­шин­ство ауди­тор­ских про­ве­рок си­ла­ми внут­рен­не­го ИТ-де­пар­та­мен­та. Также сле­ду­ет от­ме­тить, что мно­же­ство про­грамм­ных про­дук­тов, не пред­на­зна­чен­ных непо­сред­ствен­но для про­ве­де­ния ауди­та, могут быть ис­поль­зо­ва­ны для сбора ин­фор­ма­ции в про­цес­се ауди­та.

При­чи­ны и цели

Су­ще­ству­ет че­ты­ре ос­нов­ные при­чи­ны для про­ве­де­ния ИТ-ауди­та. Во-пер­вых, он по­ле­зен для того, чтобы утвер­дить — про­ве­рить пра­виль­ность и утвер­дить при­ня­тые ре­ше­ния. Во-вто­рых, чтобы на­пра­вить — аудит поз­во­ля­ет вы­брать пра­виль­ное на­прав­ле­ние для вне­се­ния ка­ких-ли­бо из­ме­не­ний. В-тре­тьих, чтобы оправ­дать — аудит поз­во­ля­ет пред­ста­вить фак­ти­че­ские до­ка­за­тель­ства того, что тре­бу­ют­ся ка­кие-ли­бо воз­дей­ствия. И, на­ко­нец, для того, чтобы вме­шать­ся — аудит поз­во­ля­ет опре­де­лить пра­виль­ные «точки вме­ша­тель­ства».

Часто целью ауди­та яв­ля­ет­ся про­вер­ка ин­фор­ма­ци­он­ных си­стем, си­стем без­опас­но­сти, а также про­цес­сов управ­ле­ния ИТ в целом на пред­мет со­от­вет­ствия как биз­нес-про­цес­сам ком­па­нии, так и меж­ду­на­род­ным стан­дар­там: за­ко­на Сар­бейн­са—Оксли, за­ко­на об от­чет­но­сти и без­опас­но­сти ме­ди­цин­ско­го стра­хо­ва­ния (HIPAA), со­гла­ше­ния Basel II, стан­дар­та без­опас­но­сти дан­ных пла­теж­ных кар­то­чек (PCI-DSS) и др.

Такая про­вер­ка необ­хо­ди­ма ком­па­ни­ям, чтобы оце­нить пра­виль­ность раз­ви­тия ИТ на ос­но­ва­нии меж­ду­на­род­но­го опыта и утвер­дить при­ня­тые ре­ше­ния, до­ку­мен­таль­но их под­твер­дить и, воз­мож­но, по­лу­чить меж­ду­на­род­ный сер­ти­фи­кат. Она поз­во­ля­ет на­пра­вить де­я­тель­ность ИТ-под­раз­де­ле­ния на до­сти­же­ние но­во­го уров­ня раз­ви­тия ИТ в со­от­вет­ствии с меж­ду­на­род­ны­ми стан­дар­та­ми. Про­вер­ка со­от­вет­ствия может по­мочь вы­явить неоче­вид­ные несо­от­вет­ствия в ИТ при­ня­тым стан­дар­там и тем самым оправ­дать необ­хо­ди­мость вне­се­ния из­ме­не­ний, а также опре­де­лить, какие про­цес­сы или си­сте­мы функ­ци­о­ни­ру­ют неэф­фек­тив­но и яв­ля­ют­ся уз­ки­ми ме­ста­ми для ра­бо­ты ИТ в целом.

Аудит как ин­стру­мент

Цен­ность ИТ-ауди­тов со­сто­ит в том, что, по­ми­мо вы­со­ко­уров­не­вой неза­ви­си­мой экс­пер­ти­зы ре­ше­ний и вы­ра­бот­ки пред­ло­же­ний по оп­ти­ми­за­ции, они могут слу­жить ин­стру­мен­том пла­ни­ро­ва­ния раз­ви­тия пред­при­я­тия. Для тех, кому нужна ква­ли­фи­ци­ро­ван­ная экс­перт­ная оцен­ка со­сто­я­ния ин­фор­ма­ци­он­ных тех­но­ло­гий, кому необ­хо­ди­мо оп­ти­ми­зи­ро­вать за­тра­ты и вы­ра­бо­тать стра­те­гию раз­ви­тия, ИТ-аудит может стать неза­ме­ни­мым и эф­фек­тив­ным под­спо­рьем, от­ве­чая на целый ряд во­про­сов.

На­при­мер, если при­ня­то ре­ше­ние о необ­хо­ди­мо­сти внед­ре­ния ин­фор­ма­ци­он­ной си­сте­мы, вста­ет во­прос о на­ли­чии стра­те­ги­че­ско­го плана раз­ви­тия ор­га­ни­за­ции, месте и роли ин­фор­ма­ци­он­ной си­сте­мы в этом плане, про­гно­зи­ро­ва­нии про­блем­ных си­ту­а­ций, в ре­ше­нии ко­то­ро­го может по­мочь ИТ-аудит.

На этапе функ­ци­о­ни­ро­ва­ния ин­фор­ма­ци­он­ных си­стем ин­те­ре­су­ет дру­гая ин­фор­ма­ция: со­от­вет­ству­ют ли при­ме­ня­е­мые ин­фор­ма­ци­он­ные си­сте­мы и тех­но­ло­гии целям и за­да­чам биз­не­са, не пре­вра­тил­ся ли биз­нес в при­да­ток ин­фор­ма­ци­он­ной си­сте­мы, как оп­ти­ми­зи­ро­вать ин­ве­сти­ции в ИТ. При воз­ник­но­ве­нии сбоев в ра­бо­те ИТ нужно знать, как вы­явить и ло­ка­ли­зо­вать про­бле­мы. Необ­хо­ди­мо по­ни­мать, как ре­ша­ют­ся во­про­сы без­опас­но­сти и кон­тро­ля до­сту­па в ор­га­ни­за­ции.

Ре­зуль­та­ты ИТ-ауди­та поз­во­ля­ют оце­нить ра­бо­ту под­ряд­ных ор­га­ни­за­ций, вы­явить име­ю­щи­е­ся недо­стат­ки. ИТ-аудит может дать ответ на во­прос, когда сле­ду­ет про­во­дить мо­дер­ни­за­цию обо­ру­до­ва­ния и про­грамм­но­го обес­пе­че­ния, каким об­ра­зом обос­но­вать ее необ­хо­ди­мость, как уста­но­вить еди­ную си­сте­му управ­ле­ния и мо­ни­то­рин­га ин­фор­ма­ци­он­ной си­сте­мы и какие вы­го­ды она предо­ста­вит.

По­лу­чен­ные в про­цес­се ауди­та дан­ные поз­во­ля­ют оце­нить риски при раз­ме­ще­нии кон­фи­ден­ци­аль­ной ин­фор­ма­ции в ин­фор­ма­ци­он­ной си­сте­ме ор­га­ни­за­ции и по­нять, как эти риски ми­ни­ми­зи­ро­вать.

В ре­зуль­та­те ауди­та можно найти ответ на во­про­сы, что де­лать в слу­чае воз­ник­но­ве­ния нештат­ной си­ту­а­ции, как сни­зить сто­и­мость вла­де­ния ин­фор­ма­ци­он­ной си­сте­мы, как оп­ти­маль­но ис­поль­зо­вать име­ю­щу­ю­ся ин­фор­ма­ци­он­ную си­сте­му при раз­ви­тии биз­не­са.

ИТ-аудит по­мо­жет ру­ко­во­ди­те­лю ИТ-служ­бы обос­но­вать ру­ко­вод­ству, по­че­му про­из­во­дит­ся за­куп­ка до­пол­ни­тель­но­го обо­ру­до­ва­ния и оце­нить необ­хо­ди­мость ин­ве­сти­ций в обу­че­ние со­труд­ни­ков ИТ-служ­бы.

Кому это нужно?

За ру­бе­жом по­тен­ци­аль­ным за­каз­чи­ком ИТ-ауди­та обыч­но яв­ля­ет­ся ру­ко­вод­ство ком­па­нии: имен­но оно наи­бо­лее за­ин­те­ре­со­ва­но в его про­ве­де­нии, так как пра­виль­ное функ­ци­о­ни­ро­ва­ние ИТ-ин­фра­струк­ту­ры ока­зы­ва­ет ко­лос­саль­ное вли­я­ние на общее раз­ви­тие биз­не­са. В рос­сий­ской прак­ти­ке чаще всего ини­ци­а­ти­ва по про­ве­де­нию ИТ-ауди­та ис­хо­дит от ру­ко­во­ди­те­ля ИТ-де­пар­та­мен­та, ко­то­рый за­ин­те­ре­со­ван в его про­ве­де­нии, так как по­ло­жи­тель­ные ре­зуль­та­ты непо­сред­ствен­но вли­я­ют на оцен­ку его де­я­тель­но­сти перед ру­ко­вод­ством, а от­ри­ца­тель­ные могут по­слу­жить обос­но­ва­ни­ем для до­пол­ни­тель­ных ин­ве­сти­ций в ИТ.

На­по­сле­док при­ве­дем ряд доводов, ко­то­рые по­мо­гут ру­ко­во­ди­те­лю ИТ-де­пар­та­мен­та обос­но­вать перед ру­ко­вод­ством ком­па­нии необ­хо­ди­мость про­ве­де­ния ИТ-ауди­та. ИТ-аудит поз­во­ля­ет оце­нить со­от­вет­ствие ин­фор­ма­ци­он­ных си­стем тре­бо­ва­ни­ям биз­не­са и по­стро­ить дол­го­сроч­ную стра­те­гию раз­ви­тия ин­фор­ма­ци­он­ных тех­но­ло­гий. За­ча­стую по­во­дом для про­ве­де­ния ИТ-ауди­та яв­ля­ет­ся необ­хо­ди­мость вы­явить по­тен­ци­аль­ные риски и узкие места в ИТ-ин­фра­струк­ту­ре. Толь­ко ИТ-аудит может под­твер­дить со­от­вет­ствие си­стем и биз­нес-про­цес­сов меж­ду­на­род­ным стан­дар­там, что яв­ля­ет­ся необ­хо­ди­мым для пуб­лич­ных ком­па­ний. Затем в ре­зуль­та­те ИТ-ауди­та может быть по­лу­че­на оцен­ка се­бе­сто­и­мо­сти ИТ-услуг, на ос­но­ва­нии ко­то­рой неслож­но сде­лать вывод о це­ле­со­об­раз­но­сти ис­поль­зо­ва­ния внеш­них под­ряд­чи­ков.


ЗАКАЗАТЬ


 

Авторизация
*
*
Генерация пароля