Ситуация, когда предложение о проведении ИТ-аудита в компании не находит поддержки у начальства, знакома многим директорам ИТ-служб. Это объясняется тем, что у руководства нет четкого понимания, для каких целей он нужен и какие выгоды получит в результате.
ИТ-аудит является частью общего технического аудита предприятия, относящейся непосредственно к контролю функционирования информационных технологий. Под техническим аудитом обычно понимают проверку независимыми специалистами применяемых на предприятии технических решений и выводы относительно обоснованности данных решений и соответствия информационных систем и процессов требованиям нормативных актов.
В России ситуация с нормативными актами в области ИТ-аудита неоднозначна. Существует федеральный закон «Об аудиторской деятельности», который достаточно подробно регламентирует основные отношения в сфере финансового аудита, однако полностью игнорирует даже само понятие специального, в том числе технического, аудита.
Возможно, из-за подобной неопределенности правовой базы у некоторых российских компаний до сих пор остается представление об ИТ-аудите как о финансовом аудите в области информационных технологий. ИТ-аудиторов ошибочно воспринимают как людей, которые занимаются пересчетом компьютеров и сравнением полученных результатов с количеством, проходящим по бухгалтерии. Но ИТ-аудит должен использоваться для других целей — это эффективный инструмент при наведении порядка в сфере информационных технологий. Он позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу ИТ-подразделения и решать многие другие задачи.
Из-за отсутствия в российском законодательстве четких указаний в области ИТ-аудита большинство компаний опираются при его проведении на здравый смысл, международные стандарты и «лучшие практики», такие как Control Objectives for Information and related Technology (COBIT) и IT Infrastructure Library (ITIL). ИТ-аудит в ITIL является важной частью процесса непрерывного улучшения качества ИТ-услуг (Continual Service Improvement), ключевого процесса в управлении ИТ. Для компаний, которые планируют строить прозрачную ИТ-инфраструктуру,чтобы, например, повысить свою ценность при выходе на IPO, использование методологии ITIL и проведение ИТ-аудита является необходимым условием.
Постоянное улучшения качества обслуживания в ITIL предполагает внедрение в организации циклического процесса, включающего выбор объектов измерения; определение того, что можно измерить; сбор данных; их обработку; анализ; предоставление и использование информации и корректирующие воздействия. Первые шесть шагов и определяют процесс ИТ-аудита.
Типичной же ошибкой при его проведении является попытка начать с определения состава аудиторских проверок, то есть пропустить в представленном выше списке первый пункт, сразу перейдя ко второму. На самом деле ключевым моментом при проведении аудита является именно выбор объекта аудита.
Выбираем аудит
Аудит ИТ-инфраструктуры в целом может затянуться на несколько месяцев и по завершении не отражать адекватно действительность, так как состояние ИТ-инфраструктуры постоянно меняется. Поэтому более прогрессивным подходом можно считать регулярные специализированные ИТ-аудиты.
Операционный ИТ-аудит заключается в обзоре значений общих параметров функционирования ИТ-инфраструктуры на различных уровнях: сеть, операционная система, системное программное обеспечение, прикладное ПО, рабочие процессы, криптография и т.д.
Аудит размещения ИТ-ресурсов предполагает обзор зданий, серверных помещений, в которых размещены ИТ-ресурсы, включая такие аспекты, как физическая безопасность (стены, видеонаблюдение, замки, охрана, процедуры входа и т.п.), контроль окружения (защита от пожара и протечек, электропитание, кондиционирование), системы управления, ИТ-оборудование.
При аудите разрабатываемой ИТ-системы осуществляются контроль управления проектом (часто аудитор является единственным человеком, знания, опыта и смелости которого достаточно, чтобы указать на то, что отчет по ходу проекта нереалистичен) и спецификация, разработка, тестирование, внедрение технических и процедурных аудиторских проверок, включая классические проверки информационной безопасности разрабатываемой системы и соответствующие проверки бизнес-процессов.
Аудит управления ИТ включает в себя обзор организационной структуры, стратегии, планирования работ, ресурсов, бюджетирования, контроля затрат и т.д. и, если применимо, аудит взаимоотношений с внешними поставщиками ИТ-услуг (в некоторых случаях аудит данных аспектов могут проводить финансовые аудиторы, оставляя ИТ-аудиторам более технические аспекты).
Под аудитом ИТ-процессов понимают обзор процессов, которые происходят внутри ИТ-департамента, такие как разработка приложений, тестирование, внедрение, выполнение операций, обслуживание, резервное копирование, поддержка, обработка инцидентов и т.д.
Не секрет, что большинство сбоев в работе ИТ-инфраструктуры связано с несогласованными изменениями. Аудит управления изменениями — это обзор планирования и контроля изменений в существующих системах, сетях, приложениях, процессах и т.д.
Аудит информационной безопасности подразумевает выполнение проверок, относящихся к конфиденциальности, целостности и доступности систем и данных. Аудит легальности ИТ-ресурсов — это проверка используемых лицензий программного обеспечения, защиты персональных данных, соответствия требованиям регулирующих органов.
К специализированным аудитам также можно отнести аудит устойчивости ИТ-инфраструктуры к сбоям и катастрофам и «специальные расследования», включающие аудиторские проверки, выполняемые для выяснения сложившейся ситуации в ИТ, связанной, например, с поглощением новой компании и необходимостью слияния ИТ-инфраструктур, «разбора полетов» и т.д.
Чтобы выбрать тип ИТ-аудита или его объект, оценивают потенциальные риски функционирования ИТ-инфраструктуры. Для этого можно использовать одну из множества формальных процедур оценки рисков или же проанализировать угрозы и возможные ситуации, которые могут привести к убыткам, и найти уязвимые места ИТ-инфраструктуры. Риски в первую очередь зависят от текущей ситуации на предприятии. Например, для предприятия, которое планирует в ближайшем будущем существенно увеличить количество сотрудников, серьезным риском будет неспособность существующей ИТ-инфраструктуры выдержать значительное увеличение количества обрабатываемых запросов. В этом случае можно порекомендовать проведение операционного ИТ-аудита.
Важным моментом при проведении аудиторских проверок является использование средств автоматизации. В случае полного отсутствия в организации инструментов автоматизации сбора информации для аудита регулярное проведение аудиторских проверок будет достаточно дорогостоящим мероприятием. В настоящее время на рынке существует множество программных средств, облегчающих компаниям проведение ИТ-аудита, таких как ACL, IDEA, IBM Tivoli Compliance Insight Manager и др. Внедрение подобных средств позволяет проводить большинство аудиторских проверок силами внутреннего ИТ-департамента. Также следует отметить, что множество программных продуктов, не предназначенных непосредственно для проведения аудита, могут быть использованы для сбора информации в процессе аудита.
Причины и цели
Существует четыре основные причины для проведения ИТ-аудита. Во-первых, он полезен для того, чтобы утвердить — проверить правильность и утвердить принятые решения. Во-вторых, чтобы направить — аудит позволяет выбрать правильное направление для внесения каких-либо изменений. В-третьих, чтобы оправдать — аудит позволяет представить фактические доказательства того, что требуются какие-либо воздействия. И, наконец, для того, чтобы вмешаться — аудит позволяет определить правильные «точки вмешательства».
Часто целью аудита является проверка информационных систем, систем безопасности, а также процессов управления ИТ в целом на предмет соответствия как бизнес-процессам компании, так и международным стандартам: закона Сарбейнса—Оксли, закона об отчетности и безопасности медицинского страхования (HIPAA), соглашения Basel II, стандарта безопасности данных платежных карточек (PCI-DSS) и др.
Такая проверка необходима компаниям, чтобы оценить правильность развития ИТ на основании международного опыта и утвердить принятые решения, документально их подтвердить и, возможно, получить международный сертификат. Она позволяет направить деятельность ИТ-подразделения на достижение нового уровня развития ИТ в соответствии с международными стандартами. Проверка соответствия может помочь выявить неочевидные несоответствия в ИТ принятым стандартам и тем самым оправдать необходимость внесения изменений, а также определить, какие процессы или системы функционируют неэффективно и являются узкими местами для работы ИТ в целом.
Аудит как инструмент
Ценность ИТ-аудитов состоит в том, что, помимо высокоуровневой независимой экспертизы решений и выработки предложений по оптимизации, они могут служить инструментом планирования развития предприятия. Для тех, кому нужна квалифицированная экспертная оценка состояния информационных технологий, кому необходимо оптимизировать затраты и выработать стратегию развития, ИТ-аудит может стать незаменимым и эффективным подспорьем, отвечая на целый ряд вопросов.
Например, если принято решение о необходимости внедрения информационной системы, встает вопрос о наличии стратегического плана развития организации, месте и роли информационной системы в этом плане, прогнозировании проблемных ситуаций, в решении которого может помочь ИТ-аудит.
На этапе функционирования информационных систем интересует другая информация: соответствуют ли применяемые информационные системы и технологии целям и задачам бизнеса, не превратился ли бизнес в придаток информационной системы, как оптимизировать инвестиции в ИТ. При возникновении сбоев в работе ИТ нужно знать, как выявить и локализовать проблемы. Необходимо понимать, как решаются вопросы безопасности и контроля доступа в организации.
Результаты ИТ-аудита позволяют оценить работу подрядных организаций, выявить имеющиеся недостатки. ИТ-аудит может дать ответ на вопрос, когда следует проводить модернизацию оборудования и программного обеспечения, каким образом обосновать ее необходимость, как установить единую систему управления и мониторинга информационной системы и какие выгоды она предоставит.
Полученные в процессе аудита данные позволяют оценить риски при размещении конфиденциальной информации в информационной системе организации и понять, как эти риски минимизировать.
В результате аудита можно найти ответ на вопросы, что делать в случае возникновения нештатной ситуации, как снизить стоимость владения информационной системы, как оптимально использовать имеющуюся информационную систему при развитии бизнеса.
ИТ-аудит поможет руководителю ИТ-службы обосновать руководству, почему производится закупка дополнительного оборудования и оценить необходимость инвестиций в обучение сотрудников ИТ-службы.
Кому это нужно?
За рубежом потенциальным заказчиком ИТ-аудита обычно является руководство компании: именно оно наиболее заинтересовано в его проведении, так как правильное функционирование ИТ-инфраструктуры оказывает колоссальное влияние на общее развитие бизнеса. В российской практике чаще всего инициатива по проведению ИТ-аудита исходит от руководителя ИТ-департамента, который заинтересован в его проведении, так как положительные результаты непосредственно влияют на оценку его деятельности перед руководством, а отрицательные могут послужить обоснованием для дополнительных инвестиций в ИТ.
Напоследок приведем ряд доводов, которые помогут руководителю ИТ-департамента обосновать перед руководством компании необходимость проведения ИТ-аудита. ИТ-аудит позволяет оценить соответствие информационных систем требованиям бизнеса и построить долгосрочную стратегию развития информационных технологий. Зачастую поводом для проведения ИТ-аудита является необходимость выявить потенциальные риски и узкие места в ИТ-инфраструктуре. Только ИТ-аудит может подтвердить соответствие систем и бизнес-процессов международным стандартам, что является необходимым для публичных компаний. Затем в результате ИТ-аудита может быть получена оценка себестоимости ИТ-услуг, на основании которой несложно сделать вывод о целесообразности использования внешних подрядчиков.