ИТ-аудит.
Домась Андрей Игоревич,
аспирант
Брянского Государственного Университета имени академика И.Г. Петровского,
системный
администратор ЗАО «е-порт».
Последние несколько лет отечественный рынок консалтинговых
услуг захлестнуло новое веяние – ИТ-аудит. Что это такое? Существует ли в нем
реальная необходимость?
Основной целью ИТ-аудита является оценка и
выявление рисков связанных с использованием информационных технологий и выработка
мер по их снижению. Т.е., ИТ-аудит похож на
финансовый, только объектом исследования являются информационные системы (ИС)
предприятия, а предметом – ИТ-процессы.
Как и его финансовый собрат, ИТ-аудит может проводиться
в результате необходимости соблюдения нормативно-правовых норм, например,
оценка соответствия инфраструктуры ИТ требованиям по
формированию отчетности, согласно закону Sarbanes-Oxley или HIPAA, так и по
внутренней инициативе.
Необходимость проведения внутреннего аудита
вызвана, как правило, желанием руководства или инвесторов иметь объективную
картину состоянии ИТ на предприятии или в отдельном
подразделении. Все дело в том, что предприятие, использующее современные
управленческие технологии, всецело зависит от своих ИС. Слишком большую роль
стали играть информационные системы в жизни предприятия.
Разумеется, для проведения аудита
необходимо наличие отлаженной методики и стандартов. Такая методика была
создана в 1996 году Организацией аудита и контроля информационных систем (Information Systems Audit and Control
Foundation, ISACF) и получила название Control Objectives for Information and Related Technology(COBIT). В
настоящий момент функциональна четвертая редакция этой методологии (версия 4.1)
и состоит из открытых документов - около 40 международных стандартов по
управлению, аудиту в безопасности в сфере ИТ. Рассмотрим основные принципы
ИТ-аудита на примере этого стандарта.
COBIT основан на
процессном подходе с использованием т.н. моделей зрелости. Модели зрелости
представляют собой «эталонные» модели с процессной архитектуры, позволяющие
руководству понять примерное состояние ИТ на
предприятии. Всего существует шесть уровней зрелости системы:
На нулевом уровне не существует никакой
системы управления ИТ. Все процессы не регламентированы и выполняются
«незаменимыми» сотрудниками. Сами процессы не четко различимы на общем фоне.
Эффективность инвестиций в ИТ определить не возможно.
Первый уровень охарактеризован по-прежнему отсутствующими связями между ИТ-процессами и
бизнес-процессами. Но руководство уже понимает всю необходимость комплексного
подхода к управлению ИТ и начинает задумываться о
таком понятии, как «возврат инвестиций в ИТ».
На втором уровне уже присутствуют четкие ИТ-процессы. Видны попытки руководства участвовать в
планировании деятельности ИТ, но из-за отсутствия
опыта и осведомленности о готовых решениях в этой области приходится
довольствоваться опытом отдельных специалистов предприятия. Уже функционируют
показатели эффективности ИТ.
На третьем уровне доминирует комплексная
система управления, выполняются четкие и регламентированные процессы. Один
специалист уже не решает ничего.
Четвертый уровень. Все процессы регламентированы. Осуществляется
полный мониторинг. Предпринимаются непрерывные попытки оптимизации процессов.
Только начиная с этого уровня, существуют управляемые системы.
На пятом уровне система управления является
частью системы управления всем предприятием. Процессы непрерывно
оптимизируются.
Разумеется, на 4 и 5 уровнях модели
зрелости ИТ-аудит должен проводится на регулярной
основе.
Для мониторинга процессов в COBIT существует два
инструмента:
Ключевые индикаторы целей (Key Goal Indicator) - KGI, дающие возможность определить критерии оценки
достижения бизнес-цели с помощью ИТ-процессов. Например, снижение себестоимости
ИТ-процессов, повышение надежности хранилищ данных, эффективность служб
поддержки и т.д.
Ключевые индикаторы производительности (Key Performance Indicator) - KPI, которые определяют критерии оценки производительности ИТ-процессов при достижении
бизнес-целей. Например, среднестатистическое время устранение проблем,
достоверность информации, вычислительная мощность и т.д.
KGI и KPI являются т.н. метриками,
с их помощью осуществляется мониторинг и последующая оптимизация процессов,
которые, в свою очередь подразделяются на 4 домена:
Планирование и организация. Это стратегия и тактика применения ИТ для достижения бизнес целей.
Комплектование и внедрение. Для реализации ИТ-стратегии необходимо применение
ИТ-решений, что влечет за собой достаточно сложную задачу выбора , интеграции и т.д.
Предоставление и поддержка. ИТ-решения требуют отдельной поддержки,
обеспечения безопасности и обработки данных.
Мониторинг. Для бесперебойной работы всех ИТ-процессов
необходим регулярный аудит и надзор со стороны руководства.
ИТ-аудит является сложной задачей,
требующей наличия соответствующих квалифицированных кадров, по этому данным
видом аудита занимаются в основном специализированные консалтинговые агентства.
Но, надо заметить, нередки случаи проведения внутреннего аудита и
сформированной группой сотрудников самого предприятия.
Поступила
в редакцию 1 февраля