Развитие ИТ-аудита
ИТ-аудит — услуга сопутствующая, призванная дополнять другие ИТ-услуги, такие, например, как ИТ-аутсорсинг, разработка стратегии ИТ, реализация проектов по внедрению различных элементов и модернизации ИТ-инфраструктуры, повышению эффективности и качества деятельности предприятия и т. п., — говорит Артем Козин, руководитель проектов компании Energy Consulting/Integration. — Сейчас происходит смещение интереса от ИТ-аудита как отдельной, самодостаточной услуги, предоставляющей результаты безотносительно к бизнес-деятельности, к ИТ-аудиту как услуге, дополняющей отдельные «конечные» ИТ-продукты и дающей результаты, осязаемые бизнесом-процессом.
Многие отечественные предприятия сталкиваются с тем, что происходит устаревание используемого технического и программного обеспечения и появляется необходимость его модернизировать. И тогда руководители предприятий стали понимать, что, прежде чем что-либо приобретать, необходимо провести анализ того, что есть, затем обратиться к аудиторам и получить их рекомендации. «Предприятия заменили программное и аппаратное обеспечение и внедрили современные информационные системы. Обычно такие работы выполняются однократно, — замечает заместитель генерального директора аудиторско-консалтинговой компании “Холд-Инвест-Аудит” Дмитрий Плаксин. — Те организации, которые действительно нуждались в регулярном ИТ-аудите (это крупные производственные и торговые предприятия и холдинги), выстроили у себя структуру ИТ-поддержки, обеспечивающую приемлемый уровень ее обслуживания.
Генеральный директор компании GSV Сергей Гузик считает, что изменился и фокус ИТ-аудита: «Если раньше заказчики услуг ИТ-аудита полагали, что у них в целом все хорошо и просили аудиторов подтвердить это, то сейчас такой уверенности нет практически ни у кого. К заказу таких услуг подходят все более осторожно и ответственно, воспринимая ИТ-аудит как серьезный инструмент управления ИТ-структурой, который выявляет недостатки не только в области ИТ, но и в бизнес-процессе компании».
Григорий Юркин, руководитель направления в компании «Консультационная фирма МРЦБ», утверждает, что интерес к ИТ-аудиту появляется именно сейчас, когда усложняется ИТ-инфраструктура и программное обеспечение, информационные технологии становятся одной из важных составных частей организма любого предприятия и растут расходы на поддержку этого организма. «Интерес к ИТ-аудиту не ослабнет никогда, он будет только расти с появлением новых технологий», — уверен Юркин.
Что и как часто аудировать?
Предметом ИТ-аудита являются информационные технологии и решения, применяемые в организации. В зависимости от цели проведения ИТ-аудита могут подлежать как вся инфраструктура предприятия, так и отдельные ее компоненты (вычислительная техника, локальная сеть, системное и прикладное программное обеспечение).
По наблюдениям Плаксина, «сейчас аудит ИТ представляет собой, помимо собственно аудита применяемых ИТ-решений на соответствие задачам предприятия и требованиям законодательства, также системный анализ рисков, связанных с использованием информационных технологий в бизнесе предприятия».
Сами по себе результаты аудита сейчас мало кого интересуют. Больший вес имеют рекомендации специалистов, касающиеся ИТ-инфраструктуры. По мнению Козина, в той или иной мере аудит осуществляется при проведении любых работ, выполняемых консультантами, будь то проектная деятельность или обычная консультация специалиста: «Сначала определяется цель, ставится задача, затем собирается информация, она обрабатывается, анализируется, принимается решение. По нашему мнению, современный ИТ-аудит представляет наибольшую ценность именно в своей последней фазе — принятия решения».
Александр Фролов, руководитель проектов компании IRP Technology, считает, что «процедура ИТ аудита в компании подразумевает сбор, анализ и предоставление руководству компании информации о текущем состоянии ИТ, о рисках, связанных с уязвимыми местами информационных систем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем».
На периодичность проведения ИТ аудита влияют разнообразные факторы: скорость роста бизнеса, изменение структуры организации, изменение или возникновение новых бизнес-процессов, частота внедрения новых ИТ-решений, способ поддержки и частота изменений существующих информационных систем и др. И это далеко не полный список.
«Основными факторами, влияющими на периодичность и частоту проведения, следует отметить внешние требования (ЦБ РФ, ISO, закон Сарбейнса — Оксли и т. п. ), смену руководства службы ИТ, актуализацию ИТ-стратегии компании, прохождение службой ИТ внутреннего и внешнего аудита, — добавляет Гузик. — Следует помнить, что при отсутствии регулярного аудита и проведении повторного аудита в течение года (максимум) после первого почти полностью обесценивает его результаты и рекомендации и не позволит обеспечить преемственность и последовательность в управлении ИТ предприятия».
А судьи кто?
Справедлив вопрос: каким критериям должна соответствовать ИТ-инфраструктура организации в ходе аудита?
«Руководство компании и персонал», — считает Юркин. «Следует проверять ИТ на соответствие стандартам COBIT, основная ценность которых в том, что они предлагают модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами», — говорит Фролов. «Критерии определяются в каждом случае с учетом специфики работы конкретной организации и целей аудита, однако можно сказать, что ИТ-инфраструктура должна обеспечивать поддержку деятельности предприятия в соответствии с выбранной стратегией его развития. Важнейшими критериями являются информационная безопасность используемых решений, надежность систем и сервисов, оперативность и достоверность предоставляемой пользователям информации», — добавляет Плаксин.
Являясь целенаправленной деятельностью, ИТ-аудит должен иметь конкретную цель, на основе которой вырабатываются критерии ее достижения. «Критерии могут быть как качественными, так и количественными. Поскольку цель в каждом случае своя, то и набор критериев различается. Существуют определенные методики (например, COBIT), которые помогают определить критерии ИТ аудита на соответствие международным нормам. Но можно выделить один из самых универсальных критериев, которому должны соответствовать работы по ИТ-аудиту, как в принципе и любые работы, — это степень удовлетворенности заказчика результатами работ, которые могут выявить как сильные стороны, так и области для улучшения», — поясняет Козин.
Однако Гузик считает, что в вопросах аудита «судей» нет, и маловероятно, что в ближайшие годы они появятся: «Во всем мире и у нас применяется практика экспертных оценок — выражение консолидированного мнения экспертов, определяемого на основе собранной и подготовленной аудиторами информации».
Предметная детализация аудита
Предметом ИТ-аудита становятся различные аспекты ИТ-инфраструктуры предприятия. До недавнего времени их спектр мог включить в себя если не все, то почти все: аудит ИТ-инфраструктуры, бюджетирования ИТ, работу ИТ-отдела, аудит ИТ-услуг (если внедрен ITSM) и др.
Управление активами ПО тоже может быть предметом ИТ-аудита. Главная его особенность в том, что лицензию на ПО нельзя «потрогать», испытать на прочность, следовательно, нельзя подходить к аудиту ПО с традиционных позиций подсчета столов и персональных компьютеров. И в этом главная сложность.
Впервые упоминание о методиках управления активами ПО (software asset management) появилось в одной из ранних версий ITIL в конце 80-х годов. В России активно этими вопросами стали заниматься совсем недавно. Этому поспособствовало в первую очередь усиление контроля со стороны государства. Раньше мало кого могли наказать за использование нелицензионного ПО. Более того, не было такого количества иностранных инвесторов, которых этот вопрос тоже сильно интересует. Не последнюю роль играет менталитет людей, сформировавшийся под влиянием первых двух факторов.
Если в случае аудита ИТ его состояние с течением времени не очень влияет на штрафы, потерю имиджа и пр., то с аудитом ПО все сложнее, потому что ПО необходимо постоянно контролировать. Проверка на соответствие лицензии — это состояние фактического ПО и количество реально закупленных на него лицензий на конкретный срез времени. «Если для компании важно изучить, насколько велик риск штрафов от проверок, скажем, того же УБЭПа на предмет лицензионного ПО, то эту задачу можно выполнить, избавившись от одних программных продуктов и закупив другие. Но через месяц все начнется заново, а еще через два месяца придет УБЭП и найдет нелицензионное ПО», — рассказывает Голев.
«Придя в одну из организаций, мы спросили: какое программное обеспечение вы используете? — вспоминает Голев. — ИТ-директор выдал нам список из 150 наименований программ. В результате аудита с помощью инструментальных средств было обнаружено 3,5 тыс. наименований ПО. Это вполне объяснимо — в масштабах компании не всегда удается получить адекватную картину состояния дел. Когда мы запускаем агенты в течение, скажем, месяца и видим, что сотрудники из всего Microsoft Office используют только Word и Excel, мы предлагаем руководству компании задуматься, зачем у их сотрудников стоит версия Professional, которая обладает избыточными для данной компании функциями и стоит при этом дороже?»
На какой стадии развития бизнеса ИТ-директор перестает контролировать состояние ПО в компании? По мнению экспертов, это происходит, если парк компьютеров достигает примерно 50 и более устройств. При таком количестве рабочих мест администратор или ИТ-руководитель уже не может достоверно ответить на все вопросы, касающиеся ПО. По мнению Голева, задача аудита ПО возникает раньше, чем аудита всей ИТ-инфраструктуры в целом, «потому что в этом вопросе процент неясного растет по экспоненте».
Как владелец бизнеса может определить, что его ИТ-руководитель не владеет ситуацией с ПО в компании? Это важно, поскольку за все риски, связанные с использованием нелегального ПО, придется по закону отвечать ему. К тому же владельца бизнеса наверняка интересует, почему затраты на ИТ быстро растут.
Наверное, владелец бизнеса может озадачить ИТ-директора простыми вопросами и в зависимости от содержания ответов сделать вывод о том, владеет ли его сотрудник ситуацией с корпоративным ПО. «Например, можно спросить, сколько нам нужно денег, чтобы все ПО было лицензионно чистым? Если ответ на это вопрос будет готов за один день, то это означает, что ИТ-руководитель понимает, что у него происходит. Если же на это у него уйдет больше времени или он не сможет обосновать цифры, то, скорее всего, ИТ-руководитель не владеет ситуацией», — считает Голев.
Для ответа на вопрос о количестве и стоимости лицензий на ПО ИТ-директору придется выяснить, сколько компьютеров находится на балансе предприятия, все ли документы на лицензии в наличии, все ли требования правообладателя, указанные в лицензионном соглашении, соблюдаются и пр. Сегодня владельцу бизнеса нужно все это знать, чтобы у него не было неприятностей с проверяющими органами. Но как быть бизнес-руководителю, который не обладает достаточной квалификацией в вопросах ИТ?
В этом случае Голев советует поставить задачу по-другому: «В следующем году наш бизнес расширяется и мы планируем принять на работу еще 50 сотрудников. Сколько нам нужно будет денег на расширение ИТ, чтобы обеспечить рабочие места для этих людей? Сводную информацию о компьютерах подготовить несложно, на ПО — труднее. Но когда она будет готова, достаточность или избыточность списка необходимого ПО можно проверить у начальников отделов. Важно понять, правильно ли ИТ-менеджеры и бизнес-руководители видят ситуацию с требуемыми для работы программными продуктами? Другими словами, соответствуют ли представления ИТ-директора видению сотрудников, которые используют ПО? Если менеджер управляет ПО, то он должен поддерживать контакт с пользователями и отслеживать ситуацию».
Источник: ИТ компания acomIT – ИТ аудит, ИТ аутсорсинг, СКС
Многие отечественные предприятия сталкиваются с тем, что происходит устаревание используемого технического и программного обеспечения и появляется необходимость его модернизировать. И тогда руководители предприятий стали понимать, что, прежде чем что-либо приобретать, необходимо провести анализ того, что есть, затем обратиться к аудиторам и получить их рекомендации. «Предприятия заменили программное и аппаратное обеспечение и внедрили современные информационные системы. Обычно такие работы выполняются однократно, — замечает заместитель генерального директора аудиторско-консалтинговой компании “Холд-Инвест-Аудит” Дмитрий Плаксин. — Те организации, которые действительно нуждались в регулярном ИТ-аудите (это крупные производственные и торговые предприятия и холдинги), выстроили у себя структуру ИТ-поддержки, обеспечивающую приемлемый уровень ее обслуживания.
Генеральный директор компании GSV Сергей Гузик считает, что изменился и фокус ИТ-аудита: «Если раньше заказчики услуг ИТ-аудита полагали, что у них в целом все хорошо и просили аудиторов подтвердить это, то сейчас такой уверенности нет практически ни у кого. К заказу таких услуг подходят все более осторожно и ответственно, воспринимая ИТ-аудит как серьезный инструмент управления ИТ-структурой, который выявляет недостатки не только в области ИТ, но и в бизнес-процессе компании».
Григорий Юркин, руководитель направления в компании «Консультационная фирма МРЦБ», утверждает, что интерес к ИТ-аудиту появляется именно сейчас, когда усложняется ИТ-инфраструктура и программное обеспечение, информационные технологии становятся одной из важных составных частей организма любого предприятия и растут расходы на поддержку этого организма. «Интерес к ИТ-аудиту не ослабнет никогда, он будет только расти с появлением новых технологий», — уверен Юркин.
Что и как часто аудировать?
Предметом ИТ-аудита являются информационные технологии и решения, применяемые в организации. В зависимости от цели проведения ИТ-аудита могут подлежать как вся инфраструктура предприятия, так и отдельные ее компоненты (вычислительная техника, локальная сеть, системное и прикладное программное обеспечение).
По наблюдениям Плаксина, «сейчас аудит ИТ представляет собой, помимо собственно аудита применяемых ИТ-решений на соответствие задачам предприятия и требованиям законодательства, также системный анализ рисков, связанных с использованием информационных технологий в бизнесе предприятия».
Сами по себе результаты аудита сейчас мало кого интересуют. Больший вес имеют рекомендации специалистов, касающиеся ИТ-инфраструктуры. По мнению Козина, в той или иной мере аудит осуществляется при проведении любых работ, выполняемых консультантами, будь то проектная деятельность или обычная консультация специалиста: «Сначала определяется цель, ставится задача, затем собирается информация, она обрабатывается, анализируется, принимается решение. По нашему мнению, современный ИТ-аудит представляет наибольшую ценность именно в своей последней фазе — принятия решения».
Александр Фролов, руководитель проектов компании IRP Technology, считает, что «процедура ИТ аудита в компании подразумевает сбор, анализ и предоставление руководству компании информации о текущем состоянии ИТ, о рисках, связанных с уязвимыми местами информационных систем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем».
На периодичность проведения ИТ аудита влияют разнообразные факторы: скорость роста бизнеса, изменение структуры организации, изменение или возникновение новых бизнес-процессов, частота внедрения новых ИТ-решений, способ поддержки и частота изменений существующих информационных систем и др. И это далеко не полный список.
«Основными факторами, влияющими на периодичность и частоту проведения, следует отметить внешние требования (ЦБ РФ, ISO, закон Сарбейнса — Оксли и т. п. ), смену руководства службы ИТ, актуализацию ИТ-стратегии компании, прохождение службой ИТ внутреннего и внешнего аудита, — добавляет Гузик. — Следует помнить, что при отсутствии регулярного аудита и проведении повторного аудита в течение года (максимум) после первого почти полностью обесценивает его результаты и рекомендации и не позволит обеспечить преемственность и последовательность в управлении ИТ предприятия».
А судьи кто?
Справедлив вопрос: каким критериям должна соответствовать ИТ-инфраструктура организации в ходе аудита?
«Руководство компании и персонал», — считает Юркин. «Следует проверять ИТ на соответствие стандартам COBIT, основная ценность которых в том, что они предлагают модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами», — говорит Фролов. «Критерии определяются в каждом случае с учетом специфики работы конкретной организации и целей аудита, однако можно сказать, что ИТ-инфраструктура должна обеспечивать поддержку деятельности предприятия в соответствии с выбранной стратегией его развития. Важнейшими критериями являются информационная безопасность используемых решений, надежность систем и сервисов, оперативность и достоверность предоставляемой пользователям информации», — добавляет Плаксин.
Являясь целенаправленной деятельностью, ИТ-аудит должен иметь конкретную цель, на основе которой вырабатываются критерии ее достижения. «Критерии могут быть как качественными, так и количественными. Поскольку цель в каждом случае своя, то и набор критериев различается. Существуют определенные методики (например, COBIT), которые помогают определить критерии ИТ аудита на соответствие международным нормам. Но можно выделить один из самых универсальных критериев, которому должны соответствовать работы по ИТ-аудиту, как в принципе и любые работы, — это степень удовлетворенности заказчика результатами работ, которые могут выявить как сильные стороны, так и области для улучшения», — поясняет Козин.
Однако Гузик считает, что в вопросах аудита «судей» нет, и маловероятно, что в ближайшие годы они появятся: «Во всем мире и у нас применяется практика экспертных оценок — выражение консолидированного мнения экспертов, определяемого на основе собранной и подготовленной аудиторами информации».
Предметная детализация аудита
Предметом ИТ-аудита становятся различные аспекты ИТ-инфраструктуры предприятия. До недавнего времени их спектр мог включить в себя если не все, то почти все: аудит ИТ-инфраструктуры, бюджетирования ИТ, работу ИТ-отдела, аудит ИТ-услуг (если внедрен ITSM) и др.
Управление активами ПО тоже может быть предметом ИТ-аудита. Главная его особенность в том, что лицензию на ПО нельзя «потрогать», испытать на прочность, следовательно, нельзя подходить к аудиту ПО с традиционных позиций подсчета столов и персональных компьютеров. И в этом главная сложность.
Впервые упоминание о методиках управления активами ПО (software asset management) появилось в одной из ранних версий ITIL в конце 80-х годов. В России активно этими вопросами стали заниматься совсем недавно. Этому поспособствовало в первую очередь усиление контроля со стороны государства. Раньше мало кого могли наказать за использование нелицензионного ПО. Более того, не было такого количества иностранных инвесторов, которых этот вопрос тоже сильно интересует. Не последнюю роль играет менталитет людей, сформировавшийся под влиянием первых двух факторов.
Если в случае аудита ИТ его состояние с течением времени не очень влияет на штрафы, потерю имиджа и пр., то с аудитом ПО все сложнее, потому что ПО необходимо постоянно контролировать. Проверка на соответствие лицензии — это состояние фактического ПО и количество реально закупленных на него лицензий на конкретный срез времени. «Если для компании важно изучить, насколько велик риск штрафов от проверок, скажем, того же УБЭПа на предмет лицензионного ПО, то эту задачу можно выполнить, избавившись от одних программных продуктов и закупив другие. Но через месяц все начнется заново, а еще через два месяца придет УБЭП и найдет нелицензионное ПО», — рассказывает Голев.
«Придя в одну из организаций, мы спросили: какое программное обеспечение вы используете? — вспоминает Голев. — ИТ-директор выдал нам список из 150 наименований программ. В результате аудита с помощью инструментальных средств было обнаружено 3,5 тыс. наименований ПО. Это вполне объяснимо — в масштабах компании не всегда удается получить адекватную картину состояния дел. Когда мы запускаем агенты в течение, скажем, месяца и видим, что сотрудники из всего Microsoft Office используют только Word и Excel, мы предлагаем руководству компании задуматься, зачем у их сотрудников стоит версия Professional, которая обладает избыточными для данной компании функциями и стоит при этом дороже?»
На какой стадии развития бизнеса ИТ-директор перестает контролировать состояние ПО в компании? По мнению экспертов, это происходит, если парк компьютеров достигает примерно 50 и более устройств. При таком количестве рабочих мест администратор или ИТ-руководитель уже не может достоверно ответить на все вопросы, касающиеся ПО. По мнению Голева, задача аудита ПО возникает раньше, чем аудита всей ИТ-инфраструктуры в целом, «потому что в этом вопросе процент неясного растет по экспоненте».
Как владелец бизнеса может определить, что его ИТ-руководитель не владеет ситуацией с ПО в компании? Это важно, поскольку за все риски, связанные с использованием нелегального ПО, придется по закону отвечать ему. К тому же владельца бизнеса наверняка интересует, почему затраты на ИТ быстро растут.
Наверное, владелец бизнеса может озадачить ИТ-директора простыми вопросами и в зависимости от содержания ответов сделать вывод о том, владеет ли его сотрудник ситуацией с корпоративным ПО. «Например, можно спросить, сколько нам нужно денег, чтобы все ПО было лицензионно чистым? Если ответ на это вопрос будет готов за один день, то это означает, что ИТ-руководитель понимает, что у него происходит. Если же на это у него уйдет больше времени или он не сможет обосновать цифры, то, скорее всего, ИТ-руководитель не владеет ситуацией», — считает Голев.
Для ответа на вопрос о количестве и стоимости лицензий на ПО ИТ-директору придется выяснить, сколько компьютеров находится на балансе предприятия, все ли документы на лицензии в наличии, все ли требования правообладателя, указанные в лицензионном соглашении, соблюдаются и пр. Сегодня владельцу бизнеса нужно все это знать, чтобы у него не было неприятностей с проверяющими органами. Но как быть бизнес-руководителю, который не обладает достаточной квалификацией в вопросах ИТ?
В этом случае Голев советует поставить задачу по-другому: «В следующем году наш бизнес расширяется и мы планируем принять на работу еще 50 сотрудников. Сколько нам нужно будет денег на расширение ИТ, чтобы обеспечить рабочие места для этих людей? Сводную информацию о компьютерах подготовить несложно, на ПО — труднее. Но когда она будет готова, достаточность или избыточность списка необходимого ПО можно проверить у начальников отделов. Важно понять, правильно ли ИТ-менеджеры и бизнес-руководители видят ситуацию с требуемыми для работы программными продуктами? Другими словами, соответствуют ли представления ИТ-директора видению сотрудников, которые используют ПО? Если менеджер управляет ПО, то он должен поддерживать контакт с пользователями и отслеживать ситуацию».
Источник: ИТ компания acomIT – ИТ аудит, ИТ аутсорсинг, СКС
Отзывы и комментарии