Аудит информационных систем и технологий (ИТ-аудит) – системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях происходящих в них, устанавливающий уровень их соответствия определённому критерию и предоставляющий результаты заказчику[1].
Согласно стандарту ISO 19011 «Рекомендации по аудиту систем менеджмента качества и/или окружающей среды» [2], под аудитом понимается «систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита».
Проведение ИТ-аудита можно разделить на 5 этапов:
Планирование аудита;
Получение общего представления об ИТ-процессах организации;
Анализ рисков в области использования информационных технологий;
Тестирование контрольных процедур в области информационных технологий;
Составление аудиторского заключения.
На этапе планирования аудита составляется общий план проведения аудита, согласовывается график проведения интервью, составляются шаблоны запросов, отчетов и других документов, анализируется предыдущий опыт работы. Планирование аудита составляет 10-15 % временных затрат на проект.
На этапе получения общего представления об ИТ-процессах организации происходит сбор и анализ информации, формирующей общее представление об управлении ИТ в компании, что позволяет иметь четкое представление о том, какие информационные активы являются ключевыми для организации и как они управляются. Данный этап составляет 15-20% временных затрат на проект.
К этапу анализа рисков в области информационных технологий относят выявление рисков, которые несут в себе текущие процесс управления ИТ, выявление контрольных процедур, внедренных в компанию для снижения данных рисков. Анализ рисков занимает приблизительно 10% временных затрат проекта по аудиту ИС.
Тестирование контрольных процедур в области информационных технологий - этоодин из основных и самых трудоемких этапов (до 50%).
На последнем этапе составления аудиторского заключения обычно составляется два документа:
Аудиторское заключение для финансового аудита. (в этом документе излагаются общие выводы об эффективности системы внутреннего контроля над ИТ.
Отчет для руководства организации. В этом документе описываются найденные недостатки системы, определяется степень существования недостатков и указания причин.
В ходе ИТ-аудита возникают проблемы, которые бывают двух видов: проблемы, связанные с человеческим фактором, и проблемы, связанные со сложностью обработки большого объема данных. Ключевыми, на мой взгляд, являются проблемы, приведенные в таблице 1.
Таблица 1.-Проблемы, связанные с ИТ-аудитом
Вид проблем |
Задача |
Суть проблемы |
Связанные с человеческим фактором |
Получение нужной информации от сотрудников |
Неприятие проекта в целом |
Согласование итогового отчета |
Неприятие выводов, сделанных в ходе проекта |
|
Использование итогового отчета |
Неприятие результатов проекта |
|
Связанные со сложностью обработки большого объема |
Формирование общего представления об ИТ |
Неполнота собранных данных |
Контроль правильности заполнения анкет |
Некорректное заполнение анкет |
|
Обработка собранных данных |
Большой объем плохо структурированных данных |
Эти проблемы должны решаться в ходе любого ИТ-аудита. Методы решения достаточно очевидны, но, пытаясь сэкономить время и средства, компании их нередко игнорируют, что увеличивает риск неудачного завершения проекта. Формировать методику ИТ-аудита необходимо исходя из его конечной цели. Структура и содержание отчета об аудите должны соответствовать задачам проекта.
Определим основные виды аудита ИТ-инфраструктуры и рассмотрим их особенности:
Аудит перед сертификации по международным стандартам
Аудит перед реструктуризацией ИТ-подразделений
Аудит перед внедрением информационной системы
Аудит перед внедрением систем управления конфигурацией/ИТ-активами
В основном аудит проводится с целью подготовки компании к внешней сертификации. В этом случае выполняется аудит в классическом его понимании. Объектом аудита является структура и процессы ИТ-подразделения (сопровождение ПО, поддержка пользователей, развитие ИС и т.п.). Назовем данный тип проектов аудитом перед сертификацией. Основные его параметры приводятся в таблице 2.
Таблица 2.- Параметры проекта аудита перед сертификацией
Схема организации |
Анкетирование, интервью. Анкеты являются предпочтительной формой обследования. Интервью проводятся на основе анкет. |
Участники |
Исполнители: внешняя сертифицированная компания. Опрашиваемые сотрудники: определяются в зависимости от стандарта, на соответствие которому проводится аудит (руководители ИТ- и бизнес-подразделений). Заказчики: бизнес руководство компании, руководство финансовых подразделений. |
Объекты исследования |
Процессы в ИТ-подразделениях. Оргструктура ИТ-подразделений. Нормативно-справочная документация, регламентирующая деятельность ИТ-подразделений. |
Итоговый отчет |
Составляется в тестовом формате и содержит: Описание текущего состояния, Заключение о степени соответствия стандарту, Рекомендации по изменению ИТ для соответствия стандарту. |
Вторая возможная цель аудита — получение рекомендаций по организации ИТ-подразделений. Такой аудит выполняется, например, в холдингах при приобретении новых компаний, для определения рациональной процедуры интеграции их ИТ-инфраструктуры с ИТ головной компании. Назовем его аудитом перед реструктуризацией ИТ-подразделений. Основные параметры этого аудита приводятся в таблице 3.
Таблица 3.- Параметры проекта аудита перед реструктуризацией
Схема организации |
Интервью. Анкетирование используется в минимальном объеме, поскольку собирается плохо структурированная информация. |
Участники |
Исполнители: в основном сотрудники самой компании. Опрашиваемые сотрудники: руководители ИТ-подразделений, ключевые ИТ-специалисты. Заказчики: CIO, бизнес руководство компании/компаний, в рамках которых происходит реструктуризация ИТ. |
Объекты исследования |
ИТ-процессы и оргструктура ИТ-подразделений. Основные используемые информационные системы. |
Итоговый отчет |
Тестовый формат, диаграммы (модели оргструктуры, ИТ-процессов, информационных систем). Описание текущего состояния. Заключение о степени соответствия стандарту, Рекомендации по организации ИТ после реструктуризации. |
Третий тип — аудит перед внедрением информационной системы. Целью аудита является определение изменений в ИТ-инфраструктуре и информационных системах компании. Подобное обследование можно считать необходимой составляющей стратегии развития ИТ, поскольку лишь после анализа текущего состояния ИТ-инфраструктуры можно сформировать обоснованный план достижения стратегических целей. Основные параметры этого аудита приводятся в таблице 4.
Таблица 4.- Параметры проекта аудита перед внедрением информационных систем
Схема организации |
Анкетирование, интервью, по результатам анкетирования, автоматизированный сбор информации. Анкеты необходимы для сбора первичной информации, интервью для ее уточнения. Степень использования анкет зависит от масштаба обследования. Полезно использовать автоматизированные системы инвентаризации ПО и АО. |
Участники |
Исполнители: внешняя компания (часто это компания, которая впоследствии будет выполнять внедрение крупной информационной системы). Также могут приглашаться компании, работающие в области ИТ-технологий. Опрашиваемые сотрудники: сотрудники ИТ и бизнес – подразделений (основные пользователи существующих информационных систем). Заказчики: бизнес руководство компании, руководители подразделений - заказчики внедренной информационной системы. |
Объекты исследования |
Состав, функциональность, взаимосвязи используемых информационных систем. Документация на ИС. Структура и процессы ИТ-подразделений, поддерживающих и развивающих используемые информационные системы. |
Итоговый отчет |
Тестовый формат, диаграммы (модели взаимосвязей между информационными системами, схемы ИТ-инфраструктуры и др.). Описание текущего состояния ИТ-инфраструктуры. Рекомендации по выбору и внедрению новой информационной системы. |
Особо стоит упомянуть аудит перед внедрением систем управления конфигурацией или ИТ-активами. В этом случае обследование ИТ-инфраструктуры необходимо для дальнейшего внедрения автоматизированных средств ее инвентаризации и управления.
В зависимости от вида ИТ-аудита схема его организации и состав проектной команды достаточно сильно различаются. В разных форматах представляются и результаты проекта. Основные параметры этого типа аудита приводятся в таблице 5
Таблица 5.- Параметры проекта аудита перед внедрением систем управления конфигурацией или ИТ-активами
Схема организации |
Узкая направленность, но большой объём собираемой информации. Основные методы: анкетирование и автоматизированный сбор информации. Структурированная информация собирается, а затем помещается в базу управления конфигурацией. Рекомендуется использование автоматизированной системы для сбора информации. В качестве такой системы, в зависимости от состава собираемой информации и ИТ-инфраструктуры системы, может быть выбрана Microsoft SMS, HP OV Enterprise Discovery, IBM Tivoli Provisioning Manager и др. |
Участники |
Исполнители: как правило, собственные сотрудники компании, которые используют средства автоматизации, внедренные внешней компанией. Опрашиваемые сотрудники: ИТ-специалисты подразделений, обладающие информацией об ИТ-структуре компании. Заказчики: ИТ-подразделения. |
Объекты исследования |
Состав и характеристика оборудования. Состав, функциональность, взаимосвязи используемых информационных систем. Состав лицензий на ПО и др. Структура и состав собираемой информации, зависящие от внедренного в компании процесса управления конфигурацией ИТ-инфраструктуры. |
Итоговый отчет |
База данных, содержащая информацию о структуре ИТ, которая в дальнейшем используется для управления конфигурацией ИТ-структуры в компании. |
Методологическая основа проведения аудита:
ГОСТР ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
IS Standards, Guidelines and Procedures for Auditing and Control Professionals
COBIT 4.1 «Control Objectives for Information and related Technology».
Федеральное правило (стандарт) аудиторской деятельности №15. «Понимание деятельности аудируемого лица». Стандарты — источники критериев аудита:
COBIT 4.1 «Control Objectives for Information and related Technology». Принципы управления. Руководство по аудиту.
ISO 27001:2005 «Информационные технологии. Методы обеспечения безопасности — Системы управления информационной безопасностью. Требования»
ISO 20000 «Управление предоставлением ИТ-услуг»
ISO 9000 «Указания по менеджменту качества»
Board Briefing on IT Governance
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.
Подводя итог, можно сказать, что решение возможных проблем, возникающих при ИТ-аудите, закладывается на этапе разработки и согласования методики аудита. Также, что 50% успеха проекта обеспечивает именно детальная методика проведения аудита. Именно она определяет основные составляющие проекта: схему выполнения, участников, состав собираемых данных, результат. Поэтому этап формирования и согласования методики обследования является ключевым в любом аудите. Даже если используются типовые методики, их необходимо пересматривать и согласовывать с заказчиком работ перед каждым проектом.
Список литературы:
Аудит информационных систем и технологий. Материалы интернет-сайта рабочей группы ISACA. Электронный ресурс. Режим доступа: http://www.isaca.ru/audit
Стандарт ISO 19011 «Рекомендации по аудиту систем менеджмента качества и/или окружающей среды», 2002.
Weber Ron.EDP Auditing – Conceptual Foundations and Practise – UK/ Издательство «Mcgraw-Hill» 1988 – стр.22