Главная  / Электромонтаж  /  Аудит it систем. Информационный аудит. Главные результаты ИТ-аудита

Аудит it систем. Информационный аудит. Главные результаты ИТ-аудита

Электромонтаж
13.12.2021

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

  1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
  2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
  3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
  4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

  1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
  2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
  3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
  4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
  5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

  • Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

  • Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
  • Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
  • Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
  • Приложения — прикладное программное обеспечение, используемое в работе предприятия;
  • Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
  • Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

  • проверка и анализ собранных данных
  • подготовка эксплуатационной документации
  • выработка рекомендаций
  • подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.

Известно, что зачастую внедренные на предприятии информационные технологии с самого начала остаются или становятся со временем "тайной за семью печатями" и для руководителей компании, и для сотрудников, и особенно для сторонних, но отнюдь не менее заинтересованных лиц - клиентов, инвесторов, партнеров. Конечно же, это не прибавляет доверия к компании, не гарантирует безопасности ее бизнеса, не способствует привлечению клиентов и инвесторов. ИТ-аудит - один из механизмов, позволяющих "пролить свет" на истинное положение дел в компании, оптимизировать работу информационных систем и, следовательно, бизнес в целом.

Основная цель IT аудита -- это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.

Мы предлагаем провести в Вашей компании IT аудит, который может состоять из следующих работ:

Для определения состава работ IT аудита, сроков проведения и стоимости работ рекомендуется провести IT-диагностику. Диагностика проводится в течение 3-5ти рабочих дней. В ходе диагностики собирается информация, необходимая для выявления ключевых проблем в области IT. На основании этой информации разрабатываются детальные предложения о проведении IT аудита в компании.

Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.

В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.

Аудит ИС направлен на достижение следующих целей:

  • Сокращение затрат на сопровождение и развитие IT-инфраструктуры
  • Сокращение затрат на выполнение автоматизируемых бизнес-операций
  • Повышение эффективности работы ИС
  • Повышение эффективности вложений в ИС компании

В рамках аудита ИС выполняются следующие работы:

  • Анализ соотсветсвия возможностей и стратегии ИС стратегии компании, бизнес-целям и бизнес-процессам
  • Анализ существующих IT-сервисов и поддерживающих их информационных систем (программных продуктов)
  • Определение проблемных мест существующей IT-инфраструктуры:
    • уровень соответствия информационной системы бизнес-требованиям
    • стоимость сопровождения и развития ИС
    • соответствие IT-процессов стандартам ISO 9000
    • уровень обеспечения информационной безопасности
  • Выработка рекомендаций по улучшению IT-инфраструктуры:
    • оценка стоимости выполнения каждой рекомендации;
    • план выполнения рекомендаций.
    • рекомендации по реинжинирингу IT-инфраструктуры.

В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.

В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.

Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.

Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.

Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.

Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.

На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.

Возможности дальнейшего сотрудничества

Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:

  • Разработка IT стратегии
  • Разработка Концепции информационной системы, в том числе разработка экономического обоснования оптимизации/развития IT
  • Оптимизация/развитие информационной системы (ИС), включающая в себя:
    • Разработка Технического задания на доработку/создание существующих/ недостающих подсистем/модулей ИС
    • Выбор программных систем (вендоров) для КИС
    • Организация и управление проектом оптимизации ИС
    • Разработка методической/сопроводительной документации
    • Разработка/внедрение доработанных/новых подсистем/модулей ИС
    • Подготовка и обучение персонала. Консультации персонала
  • Мониторинг и сопровождение эксплуатации ИС


Наши специалисты проведут аудит it инфраструктуры в Москве и Санкт-Петербурге: найдут все уязвимые места вашей IT инфраструктуры, выявят возможные риски и просчитают их последствия. В итоге Вы получите исчерпывающие рекомендации по оптимизации IT-инфраструктуры и управлению рисками - это информация, которая позволит вам избежать вероятных убытков.

На какие вопросы даёт ответ IT-аудит?

  • Каким рискам подвержена IT-инфраструктура вашей компании?
  • Если произойдут сбои в работе системы, останется ли в сохранности важная информация?
  • Как быстро снова заработают ключевые IT-сервисы?
  • Насколько хорошо IT-инфраструктура вашей фирмы справляется со своими задачами?
  • Адекватную ли оплату получают сотрудники вашего IT-отдела?
  • Насколько профессиональны сотрудники вашего IT-отдела?
  • Могут ли сотрудники вашего IT-отдела нанести вред вашей компании?

В каких случаях проведение IT-аудита особенно важно?

Существует три ситуации, когда IT-аудит становится необходимостью. Это:

1. Увольнение системного администратора компании

IT-аудит поможет:

  • Понять, в каком состоянии находится IT-инфраструктура вашей фирмы на данный момент.
  • Оценить реальный уровень профессионализма вашего системного администратора и проверить, соответствует ли ему уровень оплаты.
  • Произвести обоснованное увольнение при несоответствии сотрудника занимаемой должности.
  • Сформулировать важные для завершения трудовых отношений критерии.
  • Проверить, не наносят ли действия системного администратора ущерб вашей компании.

2. Приём на работу системного администратора

IT-аудит поможет:

  • Сформулировать для сотрудника профессиональный план работ.
  • Установить важные и стопроцентно прозрачные критерии прохождения сотрудником испытательного срока.
  • Привязать материальную мотивацию к успешному выполнению важных для компании задач.
  • Предоставить кандидату действительно объективную оценку состояния IT-инфраструктуры фирмы.
  • Максимально облегчить передачу новому системному администратору.

3. Частые сбои, потеря важной информации

IT-аудит поможет:

  • Узнать, как минимизировать потери и чего ждать в будущем.
  • Определить, насколько долго IT-сервисы вашей компании будут восстанавливаться после вероятных сбоев.
  • Оценить связанные с IT-инфраструктурой риски и угрозы для вашего бизнеса.
  • Выяснить, какими резервами располагает IT-инфраструктура вашей компании, и определить, будет ли их достаточно (с учетом развития бизнеса).


Что входит в IT-аудит?

Наши сотрудники:

  • Проведут интервью с вами и, если это необходимо, с IT-отделом и другими сотрудниками вашей фирмы.
  • Тщательно изучат Ваши серверы, программное обеспечение и сетевое оборудование.
  • Подготовят и презентуют детальный отчёт, содержащий в себе рекомендации по улучшению IT-инфраструктуры.

При необходимости, IT-аудит может быть проведён конфиденциально, в том числе, и в нерабочее время. Всё, что нам потребуется — это основные пароли доступа.

Мы проводим IT-аудит по многократно отработанной и проверенной на практике типовой программе. Разумеется, корректируя её под поставленные вами задачи. Это могут быть:

  • Выяснение причин произошедшего сбоя или инцидента (к примеру, «атаки» на сервер фирмы).
  • Организация удалённого доступа к серверам фирмы — разграничение прав доступа, проверка безопасности и т. д.
  • Оценка рисков зависимости от текущего персонала IT-отдела (проверка наличия у Вас основных паролей, степени документированности IT-инфраструктуры и т. д.).

Сколько времени займёт IT-аудит?

От двух до пяти рабочих дней — конкретные сроки зависят от масштаба IT-инфраструктуры вашей компании. В срочных случаях мы готовы начать работу непосредственно в день обращения.

Мы гарантируем:

  • Строгую конфиденциальность.
  • Комплексный подход к проведению IT-аудита.
  • Высокую квалификацию наших специалистов.
  • Максимальное внимание к поставленным вами задачам.


Типовая программа проведения IT-аудита

Включает в себя следующие разделы и действия:

1. Выявление проблемных и потенциально проблемных мест с точки зрения безопасности:

1.1 Анализ политик безопасности:

Проверка результирующих локальных политик безопасности на серверах. Оцениваются:

  • Политика аудита.
  • Параметры безопасности.
  • Назначение прав пользователя.
  • Настройки лог-файлов.
  • Настройки брандмауэра Windows.
  • Сервисы в автозагрузке.

Проверка доменных политик, применяемых к рабочим станциям. Оцениваются:

  • Параметры безопасности.
  • Назначение прав пользователя.
  • Сетевая установка ПО.
  • Параметры брандмауэра Windows.
  • Скрипты, которые выполняются при запуске/выключении рабочей станции.
  • Ограничения приложений.

Проверка политик обновления ПО. Оцениваются:

  • Наличие сервера WSUS.
  • Синхронизация WSUS.
  • Распространение обновлений.

1.2 Анализ сети и доступных извне сервисов на наличие уязвимостей:

Проверка списка сервисов, которые доступны из внешних сетей. Оцениваются:

  • Права, с которыми запускаются доступные извне службы.

Проверка порядка предоставления доступа к различным сервисам извне. Оцениваются:

  • Параметры предоставления доступа и хранения истории выдачи разрешений.
  • Ограничения при доступе извне.

Проверка контроля над доступом из внешней сети. Оцениваются:

  • Наличие лог-файлов/хранение истории обращений.
  • Возможность быстро заблокировать доступ конкретному сотруднику или всем пользователям.

1.3 Анализ антивирусной защиты, политики паролей и пользовательских разрешений:

Проверка работы антивирусного ПО, оценка выбранного для защиты IT-инфраструктуры продукта.

Проверка применяемых к серверам политик. Оцениваются:

  • Доступ к антивирусу (кто может остановить его работу на сервере?).
  • Ограничения проверяемых файлов.

Проверка применяемых к рабочим станциям политик. Оцениваются те же параметры, что и в предыдущем пункте.

Проверка прав доступа к статистике антивируса.

Проверка оповещений при возникновении вирусной угрозы.

2. Диагностика работы серверного оборудования на аппаратном и программном уровнях:

Тестирование серверного оборудования и источников бесперебойного питания:

  • Внешний осмотр серверных станций (без отключения).
  • Проверка соответствия мощности ИБП ожидаемому времени автономной работы серверов.
  • Проверка настроек ПО источников бесперебойного питания.
  • Внутренний осмотр серверных станций (с отключением).
  • Тестирование нагрузочной способности источников бесперебойного питания (с отключением).

Анализ хранящихся в журналах событий записей:

  • Поиск событий, которые связаны с произошедшими аппаратными сбоями.
  • Поиск событий, которые связаны с перезапуском служб.

Анализ настроек серверных служб:

  • Проверка прав, с которыми запускаются службы.
  • Поиск ошибок, которые связаны с запущенными службами.

3. Определение проблемных и потенциально проблемных мест с точки зрения производительности:

  • Анализ нагрузки на серверные станции в часы пиковой активности.
  • Проверка наличия свободного места на жестких дисках.
  • Анализ распределения нагрузок между серверными станциями.
  • Выявление приложений, которые наиболее требовательны к ресурсам.

4. Диагностика работы сети и активного оборудования:

  • Проверка скорости интернет-канала.
  • Оценка потерь пакетов во внутренней и внешней сети.
  • Проверка политик безопасности и параметров работы активного оборудования.
  • Проверка загруженности внутренних каналов, соединяющих активное оборудование.

5. Проверка корректности пользовательских настроек (несколько рабочих станций по выбору):

  • Соответствие реальных настроек эталонным.
  • Проверка состояния антивирусного ПО.
  • Проверка наличия вредоносного ПО (кейлоггеры, снифферы, программы подбора паролей и т. д.).
  • Проверка наличия нелицензионного ПО.

6. Аудит политик резервного копирования

  • Проверка наличия резервных копий для важных сервисов.
  • Проверка политик резервного копирования, установленных для важных сервисов.
  • Проведение выборочного тестирования хранящихся бэкапов.
  • Диагностика устройств, на которых хранятся бэкапы.

7. Анализ структуры сети, анализ компоновки сетевых решений, выявление уязвимых мест

  • Проверка способа доступа к активному сетевому и серверному оборудованию.
  • Анализ системы охлаждения серверных станций.
  • Выявление перегруженных серверных станций.
  • Проверка соответствия текущих характеристик подводящей сети и электрической мощности серверов.
  • Проверка альтернативного подключения серверных станций к электропитанию.

8. Выявление проблемных и потенциально проблемных мест с точки зрения надёжности:

  • Определение общих «узких» мест производительности для двух или более сервисов.
  • Определение общих точек отказа для двух или более сервисов.

9. Анализ ситуаций, в которых сетевое или серверное оборудование отказывает:

Наши специалисты сделают прогноз потери данных и простоя при выходе из строя отдельных серверных станций.

10. Анализ заявок пользователей и инцидентов, случившихся ранее:

  • Проверка наличия системы учёта заявок от пользователей.
  • Анализ самых часто встречающихся заявок.
  • Анализ ранее произошедших крупных инцидентов и последствий, к которым они привели.

Наши преимущества

Профессиональный аудит ИТ инфраструктуры: комплексная проверка работы информационных систем

Любое современное предприятие просто не может полноценно существовать без развитой информационной системы. Кроме того, любые сбои компьютерного оборудования, программного обеспечения могут привести к целому ряду серьезных проблем. Среди них и неэффективное расходование финансовых средств предприятия, и утечка важных данных, и полная остановка всех процессов.

Если вы хотите оптимизировать работу информационной системы предприятия, закажите аудит ИТ инфраструктуры в Москве в компании Руки из плеч. Он дает возможность своевременно выявить намечающиеся проблемы и оперативно устранить их.

К целям таких работ можно отнести также обнаружение уязвимостей в информационной системе, недочетов, которые оказывают негативное влияние на работу предприятия. Также аудит позволяет разработать комплекс эффективных мер для ее возвращения в нормальный режим.

Какие услуги предлагает наша компания?

Наша аутсорсинговая компания выполняет комплексные услуги по проверке работоспособности информационных систем, которые включают в себя:

  • оценку IT-инфраструктуры, технического состояния сетевого, компьютерного и серверного оборудования;
  • проверку работоспособности программного обеспечения, выполнения им основных функций, обеспечивающих слаженную работу всех подразделений предприятия;
  • оценку состояния структурированной кабельной системы;
  • проверку систем, обеспечивающих полную безопасность информации, передаваемой по сети.

Что вы получите, обратившись к нам?

Проведением аудита ИТ инфраструктуры занимаются опытные аудиторы, разбирающиеся не только в особенностях современного оборудования и программного обеспечения, но и в специфических нюансах предприятий, задействованных в той или иной сфере деятельности.

Именно поэтому результатом обращения к нам будет:

  • эффективная работа серверов и компьютеров;
  • максимальная безопасность хранения и передачи данных, их защита от любых непредвиденных ситуаций;
  • уменьшение затрат на расходные материалы для оргтехники;
  • эффективная защита от шпионского и вирусного программного обеспечения;
  • установленные на все компьютеры и другое оборудование лицензионные операционные системы и приложения, которые будут автоматически обновляться до самых актуальных версий;
  • внедрение систем, предназначенных для эффективного хранения, резервирования и восстановления данных.

Обращение к нам - это возможность не только проверить IT-инфраструктуру, но и адаптировать ее к конкретным особенностям именно вашего предприятия, значительно повысить эффективность работы.

Зачем нужен ИТ аудит

  • Понять состояние ИТ инфраструктуры.
  • Собрать перечень сервисов.
  • Узнать о сервисах, работающих со сбоями.
  • Получить рекомендации по инфраструктуре.
  • Узнать, как снизить стоимость использования ИТ.
  • Оценить уровень нашей компетенции.

Аутсорсинговые компании начинают практическое знакомство с потенциальными клиентами с ИТ аудита. Мы не исключение.

ИТ аудит - процедура, помогающая клиенту понять профессиональную пригодность ИТ специалистов нашей компании обслуживать инфраструктуру.

АВИ Консалт с радостью проведет предпроектное исследование ИТ инфраструктуры, чтобы помочь понять текущую ситуацию, спланировать дальнейшие шаги по развитию и оптимизации сети, а также познакомиться с нашей командой. Если захотите сотрудничать, мы сделаем работу техники отказоустойчивой. Следовательно, убережем от неприятных неожиданностей, связанных с остановкой работы критических сервисов.

Ниже перечислим виды аудита, и дадим полезные советы по выбору обслуживающей компании.

Коммуникативные навыки, живость ума, уровень процессного подхода, качество документации - на это заказчик будет смотреть испытующим взглядом, чтобы решить, готов ли доверить дорогостоящее оборудование и критичные сервисы незнакомым людям.

Нередко клиент принимает решение уже в первые пятнадцать минут общения, т.к. основывается на сравнении уровня специалиста, который перед ним, с теми, которых встречал раньше. Закономерно, что это первое впечатление обманчиво, в силу нескольких нижеуказанных причин.

  • Клиенту в прошлом попадались специалисты высокой квалификации, к которым руководитель привык, и испытывал доверие. Но это не значит, что не удастся найти такую же команду, если лучше познакомиться с новичками и оценить их способности.
  • Субъективность оценки, вызванная личной симпатией. Приятный психологический портрет исполнителя при встрече не всегда показывает профессионализм остальных сотрудников компании в работе.
  • Красноречивый сотрудник отдела продаж убеждает неискушенного заказчика подписать контракт. При этом качество услуг отличается от качества продаж в худшую сторону.
  • Сниженная цена соблазнительна. Но нужно не забыть проверить, какой состав услуг при этом продается.

Для этого заказчик должен понимать, из каких этапов и процедур состоит процесс ИТ аудита, и что получится на выходе. Тогда просто посмотрев на то, как новоявленные специалисты выполняют аудит, делается вывод, стоит ли доверять сторонней компании функции жизнеобеспечения.

Для полного понимания скажем, что ИТ аудит - сложный процесс, который подразделяется на много видов, и в зависимости от контекста применения выглядит каждый раз иначе. Сузим обсуждение, и оставим для рассмотрения пример, когда клиент заказывает аудит у сторонней компании.

Аудит на верхнем уровне сводится к простой формуле:

  • Сбор информации (интервьюирование, анкетирование, документирование).
  • Непосредственный анализ (обследование оборудования, ПО, анализ процессов).
  • Подготовка рекомендаций.
  • Составление отчета.

Каждый из этапов, в зависимости от ситуации, или сложившейся практики, реализуют разными способами. Но в большинстве случаев присутствуют все этапы, вне зависимости от вида аудита. Рассмотрим варианты внешнего аудита, которые часто встречаются в нашей сегодняшней действительности.

Экспресс ИТ аудит

Это наиболее распространенный на российском рынке вариант ИТ аудита. Проводится аутсорсинговыми компаниями перед принятием на обслуживание компьютерной техники у малого и среднего бизнеса. Инициатором выступает владелец или топ менеджер компании, который для оценки предстоящих ежемесячных расходов устраивает своеобразный тендер. В ходе такого аудита заказчик оценивает квалификацию исполнителя, и может в режиме онлайн принять окончательное решение. Критерии выбора - стоимость, названная исполнителем, и уровень продемонстрированных навыков.

Такой аудит характерен отсутствием документации, общение происходит на словах, продолжительность составляет от одного до нескольких часов. Как и любой аудит, экспресс вариант состоит из обязательных этапов, отсутствие которых озадачивает заказчика, и вызывает сомнения в компетентности аудиторов. Первым делом технические специалисты со стороны исполнителя выясняют, «как все устроено», т.е. составляют перечень сервисов, узнают о работающих со сбоями. Затем исполнитель приступает к непосредственному осмотру техники, серверного, сетевого оборудования, рабочих станций. Плюс экспресс аудита - скорость выполнения. Заказчик уже через считанные минуты получает рекомендации по инфраструктуре, и далее оценивает, насколько эти рекомендации адекватны. Специалист обратит внимание на критичные потенциальные риски и проблемы безопасности.

Наиболее распространенные проблемы в сегменте малого и среднего бизнеса:

  • антивирусная безопасность;
  • безопасность систем банк-клиент (интернет-банкинга);
  • резервирование оборудования;
  • административный доступ пользователей.

Если знаете об этих проблемах, но в результате экспресс аудита специалисты не акцентировали на них внимание, то появляется причина насторожиться. Профессионал дает потенциальному клиенту рекомендации по оптимизации инфраструктуры, и с них начинает разговор.

Отдельного упоминания требует соответствие инфраструктуры стандартам. У каждой обслуживающей компании они различаются, но, если их нет, это как минимум подозрительно. Стандарт включает в себя должный уровень безопасности и отказоустойчивости. Аутсорсинговые компании настаивают на приведении инфраструктуры к стандарту без дополнительной оплаты со стороны клиента.

Завершающим этапом аудита будет коммерческое предложение на постоянное обслуживание. Продвинутые компании предоставляют информацию о том, как рассчитывается стоимость обслуживания в разрезе сервисов и оборудования. Сегодня расчет стоимости абонентского обслуживания у многих компаний автоматизирован, и на сайтах присутствуют калькуляторы для приблизительного расчета. Заказчик может сравнить стоимость, рассчитанную на калькуляторе , с заявленной по результатам аудита. Также может оценить стоимость предложений различных компаний на виртуальном рынке. Если стоимость сильно отличается, запрашивают разъяснения от исполнителей.

Объективно ситуация возможна, но на то необходимы веские причины:

  • наличие специализированного ПО;
  • большое количество виртуальных машин;
  • особые условия предоставления сервиса.

Помимо предложения постоянно обслуживать клиента, хорошая компания по результатам аудита порекомендует также проект по оптимизации инфраструктуры, для устранения обнаруженных недостатков. Расскажем о маленькой хитрости, уменьшающей стоимость ежемесячного обслуживания. В компаниях малого и среднего бизнеса обслуживать ИТ поручают студентам, привлекают знакомых и друзей владельца или администратора, когда еще не решено перейти к ИТ аутсорсингу. Инфраструктура, которая получилась в результате таких действий, не экономная в дальнейшем. Стоимость использования отягощает бюджет компании. Но бизнес хочет сократить издержки, в том числе на обслуживание ИТ. Перед подписанием договора на абонентское обслуживание, или в первые месяцы сотрудничества заказывают у ИТ компании разработку проекта по оптимизации инфраструктуры, нацеленный на удешевление ежемесячных ИТ услуг. Уже через год обслуживания получают серьезную экономию на стоимости абонентских услуг, которая наверняка окупит издержки на реализацию проекта.

Целевой ИТ аудит

Даже у солидной фирмы со временем возникает неразрешимая проблема. И когда никто из сотрудников не справляется с задачей, приходит время обратиться к аутсорсинговой или ИТ компании. Целевой аудит характерен тем, что помогает решать локализованные проблемы или конкретные задачи. Т.е. если происходит поломка или хроническая проблема, с которой хотите разобраться раз и навсегда с полным пониманием причин, последствий, вариантов решений, то заказывают целевой ИТ аудит. Сфер применения этого варианта аудита великое множество. Ниже перечислены те немногие, которые применимы на ИТ рынке сегодня.

  • Обновление оборудования (апгрейд железа).
  • Оптимизация работы сервисов.
  • Производительность офисного программного обеспечения, информационных систем, баз данных.
  • Аудит лицензий.
  • Мониторинг отказоустойчивости.
  • Системная интеграция.
  • Улучшение работы ИТ подразделения.
  • Внедрение информационных систем.
  • Автоматизация бизнес процессов.

Преимущество целевого аудита - низкая стоимость проведения по сравнению с полным аудитом. При этом клиент платит за решение проблемы, не за выявление, как в случае экспресс аудита. Компания заказчик получает комплексное решение, обширные консультации, и документацию по решенной проблеме. Клиент работает самостоятельно при повторном возникновении аналогичных неполадок.

Важный момент целевого аудита - полная документированность процедуры. В крупных проектах составляют план мероприятий со сроками, этапами, указанием лиц, отвечающих за выполнение. Исполнитель опрашивает представителей заказчика, что тоже документируется и прилагается к результатам.

Затем начинается этап непосредственного анализа. Здесь исполнитель применяет специальные знания, которые нелегко формализуются, требуют интеллектуального подхода. Высокий уровень формализации свидетельствует о серьезности подхода ИТ компании. Если исполнители не первый раз работают в предметной области, у них под рукой подробные списки возможных рисков, наборы стандартов (собственные, российские или международные) для выявления отклонений, чек листы и протоколы для фиксации показателей.

Сегодня ИТ аудит выполняют, не вставая из-за стола, за считанные часы, клиент не знает, сколько человек причастно к аудиту, и где люди физически живут. Чтобы заказчик получил подробности по аудиту, запрашивают операционную документацию или дистанционную консультацию. Рекомендации и отчет, конечно же, необходимые составляющие целевого аудита, т.к. представляют конечный результат для заказчика. Отчет оформляют документально, на бумажных и цифровых носителях информации, по нему заказчик судит о качестве аудита. Если в отчете слабо акцентирована цель аудита, исполнитель применил сомнительный аналитический инструментарий, отсутствуют рекомендации, выводы не коррелируют с аналитическим разделом или не мотивированы, то у потребителя такого продукта возникнут резонные сомнения в ценности приобретения.

Полный ИТ аудит

Еще называется комплексным. Это дорогостоящий вариант аудита, который чаще заказывают представители среднего и крупного бизнеса. Применяется как часть полного аудита компании, или с целью внесения изменений в работу отдельного ИТ подразделения. В силу того, что процесс многосторонний и сложный, качество проведения полного аудита гарантировано только при следовании наработанным международным практикам и действующим стандартам.

Признанный авторитет в области стандартизации проведения ИТ аудита - международная Ассоциация по аудиту и контролю информационных систем (ISACA), которая выпустила исчерпывающие и современные публикации по проведению ИТ аудита «IT Assurance Framework» и «Cobit 5 for Assurance». Следование стандартам и профессиональный менеджмент послужат залогом успеха аудита.

Рассмотрим направления, на которые распространяется комплексный ИТ аудит:

На выходе руководство компании получает информацию о том, насколько ИТ инфраструктура соответствует стандартам (критериям), какие риски присутствуют, а также рекомендации по устранению недостатков.

Начните с первоначального бесплатного ИТ аудита!

Развитие информационных систем приносит компании очевидную пользу. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. IT-аудит позволяет выявить эти риски, оценить эффективность IT-системы и выбрать направления для ее совершенствования.

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности — вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

  • выбора неоптимального решения по автоматизации;
  • ошибок при проектировании;
  • нарушения расчетных сроков и бюджета проекта;
  • несоответствия между инфраструктурой и решениями по автоматизации;
  • технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
  • неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
  • неиспользование всего потенциала технологий;
  • невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
  • неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
  • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)

IT-процессы как ключевой объект аудита

Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

  • распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
  • наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
  • поддержание в полном и актуальном состоянии процессной документации на всех уровнях;
  • наличие и полнота механизмов измерения производительности и формирования внутренней отчетности для каждого IT-процесса, позволяющая руководству IT-службы оценивать степень достижения целевых показателей и, как следствие, принимать эффективные управленческие решения;
  • наличие процедур оперативного мониторинга текущей деятельности, обеспечивающих своевременную идентификацию операционных сбоев линейными менеджерами, например невыполнение сотрудниками штатных процедур;
  • наличие процедур информационного обмена между смежными IT-процессами;
  • методы и специальные инструменты, позволяющие повысить эффективность деятельности, например использования средств автоматизации для регистрации и учета обращений пользователей;
  • совершенствование деятельности на основе анализа текущей эффективности и планов развития информационных технологий.
Таблица 1

IT-процесс

Возможные признаки рисковой ситуации

Стратегическое планирование IT

На стадии стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии, что не позволяет в проактивном режиме оптимизировать работу IT-подразделения под фактические бизнес-требования.

Стратегическое планирование IT-деятельности выполняется по мере необходимости в ответ на конкретное требование бизнеса, и поэтому результаты являются эпизодичными и непоследовательными. Вопросы стратегического планирования иногда обсуждаются на встречах только на уровне руководства департамента IT, а не руководителей бизнес-подразделений. Настройка приложений и технологий под потребности бизнеса является реакцией на внешнее воздействие, например на предложения поставщиков, а не осуществляется на базе стратегии, разработанной в компании. Оценка стратегического риска не формализована и осуществляется от проекта до проекта.

Планирование IT-архитектуры

Не оптимизирована структура информационных систем, что повышает избыточность данных (дублирование) в корпоративной системе, а также снижает уровень совместимости систем и приложений.

Идет разрозненная разработка компонентов информационной структуры. Имеется частичная реализация схем данных, документации и правил синтаксиса данных. Определения относятся скорее к данным, чем к информации, и обусловлены предложениями поставщиков приложений. Разъяснение сотрудникам необходимости информационной архитектуры проводится хаотично и бессистемно.

Управление персоналом

Не оптимизирована политика в отношении найма и сохранения (мотивирования) квалифицированного персонала, что не позволяет обеспечивать максимальный вклад персонала в результат IT-деятельности.

Используется неформальный подход к найму и управлению персоналом, обусловленный скорее потребностями конкретных проектов, чем направлением развития технологии и продуманным соотношением предложений квалифицированных сотрудников внутри организации и на стороне. Осуществляется неформальное обучение новых сотрудников.

Управление проектами

Не оптимизированы подходы к управлению проектами, что приводит к невыполнению обязательств по срокам и стоимости работ. Решение об использовании методики и подходов к управлению проектами в области IT оставлено на усмотрение отдельных менеджеров.

Принципиальные решения по управлению проектами принимаются без управления пользователями и исходных данных клиента. Клиенты и пользователи не принимают участия в определении IT-проектов или их участие носит незначительный характер. IT-проекты плохо организованы: роли и обязанности участников, а также график выполнения проектов не определены, не отслеживаются трудозатраты.

Приобретение IT-инфраструктуры

Не оптимизирована и не стандартизирована деятельность по приобретению и обслуживанию инфраструктуры IT. При эксплуатации это приводит к снижению производительности систем и возникновению рисков безопасности в отношении данных и программ, хранящихся в системе.

Для каждого нового приложения в инфраструктуру вносятся изменения без какого-либо общего плана. Обслуживание организовывается как реакция на краткосрочные потребности. Средой для тестирования является производственная среда. Приобретение и обслуживание IT-инфраструктуры не базируется на какой-либо определенной стратегии и не учитывает потребности бизнес-приложений, которые необходимо поддерживать. Графики обслуживания не разработаны в полном объеме, и деятельность не координируется.

Управление услугами поставщиков

Не установлены четкие договорные отношения (соглашения) с поставщиками IT-услуг, включая определение ролей, ответственности и ожиданий, а также проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия, что повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Отсутствует формальная политика и порядок заключения договоров со сторонними организациями. Не осуществляется оценка деятельности сторонних организаций. Сторонние организации не предоставляют отчетность. В отсутствие обязательств о предоставлении отчетности высшее исполнительное руководство не владеет информацией о качестве предоставляемых услуг. Отсутствуют типовые условия договоров с поставщиками услуг. Оценка предоставляемых услуг осуществляется произвольно и фрагментарно. Методика зависит от индивидуального опыта отдельно взятого лица и от поставщика (например, по запросу).

Управление непрерывностью

Отсутствует формализованный подход к созданию (поддержанию и тестированию) планов обеспечения непрерывности IT-деятельности (в том числе планов резервного хранения данных), что делает в случае наступления чрезвычайной ситуации высоковероятным возникновение значительных перерывов в предоставлении IT-услуг по ключевым направлениям и процессам бизнеса.

Реакции на крупные нарушения заранее не продуманы и не подготовлены. Практикуются плановые отключения системы для обеспечения нужд IT-обслуживания без учета выполнения требований бизнеса. Подходы, применяемые к обеспечению непрерывности предоставления услуг, характеризуются неполнотой и фрагментарностью. Поступающая информация относительно доступности системы не учитывает состояние бизнеса. Нет документального обеспечения в отношении действий пользователя или в отношении обеспечения непрерывной работы.

Источник: каталог рисков, разработанный компанией «ИТ эксперт»

Открытые стандарты

CobiT (Control Objectives for Information and related Technology) — международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) — стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology - Service management) — стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой — нацеленный на IT-услуги — аналог ISO 9001:2000.

Этапы аудита

На предварительном этапе аудита — этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

  • предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;
  • согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;
  • формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки. Если заказчиком IT-аудита выступают представители руководства компании, то для получения более точного результата рекомендуется формировать анкеты в бизнес-терминах (табл. 2). С учетом временных и ресурсных параметров проведения аудита определяются границы аудита (сервисы, системы, подразделения и т.п.). При этом рекомендуется рассматривать наиболее значимые для целей бизнеса и/или распространенные сервисы и системы, чтобы иметь возможность на основе оценки определенной (ключевой) области аудита сделать объективные выводы о системе IT-управления в целом.

Таблица 2. Выдержка из анкеты для проведения интервью с руководством компании и ключевыми пользователями

Описание IT-риска (из каталога рисков компании «ИТ Эксперт»)

Оценка важности управления IT-риском

Выбранный вариант отметить

На этапе стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии Последствия:

  • несвоевременное реагирование IT-службы на бизнес-инициативы (открытие новых офисов, автоматизация бизнес-процессов);
  • увеличение финансовых затрат на перевод бизнес-инициатив в конкретные IT-решения (неоптимальные и ошибочные решения, принимаемые IT в спешном порядке)

Риск несущественный

Пояснения к интервью: риск носит гипотетический характер и малозначим для деятельности компании (затраты на управление риском будут выше, чем полученный эффект)

Риск умеренный (приемлемый)

Пояснения к интервью: признается важность управления указанным риском в стратегической перспективе (на данном этапе допускается предварительная проработка вопроса, не требующая привлечения финансовых инвестиций и затраты существенных временных ресурсов бизнес-руководителей)

Риск выше среднего

Пояснения к интервью: признается важность управления указанным риском (в том числе выделение временных и финансовых ресурсов) уже в краткосрочной перспективе

Риск высокий

Пояснения к интервью: допускается, что реализация данного риска не только возможна в краткосрочной перспективе, но и уже происходила

Дополнительный параметр оценки

Признается необходимость совместного участия IT и бизнеса в управлении данным риском

Комментарии и пояснения:

С учетом полученной информации аудитор формирует анкеты, в которых указывает параметры аудиторских процедур по каждому IT-процессу, в том числе наименование детализированных целей контроля и примерное количество уточняющих вопросов. Чтобы оценка системы IT-управления была всесторонней, формируется иерархия вопросов от частных до высокоуровневых. Для анализа оценки уровня зрелости IT-процессов рассматриваются частные вопросы, сгруппированные в детализированные цели контроля. При этом учитывается полнота и достоверность предоставленных аудиторам данных и свидетельств.

Для примера приведем структуру анкеты для оценки IT-процесса «Управление услугами подрядчиков»:

Риски недостижения целей процесса:

  • отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Влияние на достижение целей

IT-деятельности:

  • обеспечение результативности IT-деятельности — умеренное влияние;
  • обеспечение рациональности IT-деятельности — высокое влияние;
  • обеспечение безопасности IT-деятельности — высокое влияние.

Детализированные цели контроля:

  • определение политик процесса и процедур деятельности;
  • распределение ролей;
  • менеджмент документов;
  • анализ контрактов;
  • управление договорными разногласиями;
  • передача прав;
  • ответственность и подотчетность;
  • инструментарий;
  • охват процесса;
  • отчетность и метрики. Следующий этап — аудит на месте («II» на рис. 1), в рамках которого проводятся интервью с сотрудниками компании-заказчика и верифицируются их результаты (табл. 3). На этом этапе рекомендуется решать следующие задачи:
  • провести процедуры самооценки с использованием разработанных ранее анкет;
  • провести интервьюирование ключевых сотрудников объекта аудита для уточнения результатов самооценки;
Таблица 3. Фрагмент анкеты для самооценки процесса «управление конфигурациями»

Критерии аудита

Самооценка

или да/нет

Положение о подразделении содержит указание на задачи, связанные с управлением конфигурациями

В должностные инструкции сотрудников, отвечающих за управление конфигурациями, включены соответствующие записи

Определен и адекватен охват CMDB (конфигурационной базы данных): серверы, ПЭВМ, СУБД, ПО, ЛВС

Определена и адекватна степень детализации атрибутов конфигурационной единицы (наименование, тип, место, владелец, инвентарный номер, статус, документация, лицензии и др.)

Регистрируются взаимоотношения (взаимосвязи) между конфигурационными единицами на физическом и логическом уровне

Применяется порядок регистрации базисной конфигурации

Определены и выполняются процедуры контроля над добавлением конфигурационной единицы

Определены инициирующие события и периодичность проведения аудита CMDB (проверки того, насколько точно отражена текущая ситуация в CMDB)

Применяются инструментальные средства аудита, которые могут автоматически выполнять анализ рабочих станций и формировать отчеты о текущей ситуации и статусе IT-инфраструктуры
  • провести верификацию результатов интервью и самооценки в рамках процедур наблюдения за деятельностью и детализированного тестирования предоставленных свидетельств (в том числе регламентов, положений, отчетов, записей о событиях и т.п.)

Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:

  • 0 — деятельность не осуществляется и не признается необходимой;
  • 1 — деятельность не осуществляется, но признается необходимой;
  • 2 — деятельность осуществляется фрагментарно и имеет минимальный охват, подтвердить ее свидетельствами невозможно, вероятные отклонения выявить сложно;
  • 3 — деятельность осуществляется на периодической основе, однако имеет небольшой охват и может быть подтверждена свидетельствами только в отдельных случаях или посредством демонстрации в режиме «наблюдения за деятельностью»;
  • 4 — деятельность осуществляется на постоянной основе. Охват процесса находится на удовлетворительном уровне и запланирован к увеличению, в большинстве случаев имеются документальные свидетельства деятельности;
  • 5 — деятельность осуществляется на постоянной основе, имеет полный охват, имеются свидетельства в электронном и бумажном виде, которые пригодны как для внутреннего контроля, так и для аудита. При выставлении оценки необходимо учитывать адекватность документарных свидетельств (аудиторский след), на основании которых можно дать заключение по оцениваемой деятельности. К этой группе документов относятся, например, реестры и описи, регистрационные журналы, протоколы, листы ознакомления, акты и/или отчеты, свидетельствующие о выполнении работы (наряда).

Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.

Отсутствие инцидентов — сигнал об опасности

В качестве примера рекомендаций по проведению верификации по конкретному вопросу — «Реагирование на инциденты информационной безопасности» — может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает. Поэтому процедуры сообщения о случаях нарушения безопасности, инцидент-reporting процедуры, должны быть предусмотрены независимо от того, происходили ли в прошлом какие-либо инциденты или не происходили. Необходимо проверять, имеется ли в данной организации ясное определение понятия «случай нарушения безопасности (инцидент)», и понимают ли его сотрудники, занимающие ответственные должности. Полезно задавать проверочные вопросы, например: «Если вы обнаружили, что ваш сейф с секретными материалами стоит открытый, а вокруг никого нет, то сочтете ли вы это случаем нарушения безопасности?», «Если служащий сообщил о том, что ему по ошибке выдали чужую зарплату, можно ли это считать случаем нарушения безопасности?»

Ключевой задачей аудитора на данном этапе является обеспечение транспарентности механизма формирования итоговых выводов как основного условия доверия к результатам аудита. Все заинтересованные стороны должны иметь возможность отследить причинно-следственную связь в цепочке преобразования результатов аудита от частных к итоговым оценкам. Остановимся на наиболее специфичных этапах преобразования оценок.

Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса (табл. 5). Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Таблица 5. Формула расчета итоговой оценки уровня зрелости

L = L1 + L2 + L3 + L4 + L5

Уровень зрелости по разделу

Наименование

K — вес раздела (сумма баллов равняется 5)

R(Tn) — базовая оценка от 0 до 1 по итогам анкетирования и верификации (фактическая сумма оценок/максимально возможная сумма оценок)

L1 = K × R(T1)

Компетенция

L2 = K × R(T2)

Деятельность

L3 = K × R(T3) × R(T2)

Документирование

L4 = K × R(T4) × R(T2)

Измерение

L5 = K × R(T5) × R(T2)

Совершенствование

Расчет, представленный на рис. 2, позволяет построить тренд уровня зрелости IT-процесса.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности. Длительность постпроверочного периода (времени между аудитами) на практике в большинстве случаев составляет от года до трех лет и определяется с учетом законодательных и нормативных требований по периодичности, а также принципа разумной достаточности — исследуется период, который представляет наибольший интерес для целей формирования прогнозов на будущее.

Расчет уровня IT-рисков

Речь идет об уровне риска после его обработки, например после применения контрмер, направленных на его снижение. В рамках данной процедуры аудитор составляет ранжированный перечень выявленных рисков и сопоставляет базовый уровень риска с уровнем зрелости IT-процесса, отвечающего за управление данным параметром (табл. 6). Допустимым считается остаточный риск (S) 6 и менее. Умеренным — от 7 до 11. Высоким — от 12 до 16. Критическим — от 17 до 25.

Подводя итоги

Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент (рис. 3). Помимо стандартных рекомендаций по устранению выявленных в ходе аудита несоответствий (замечаний), результаты аудита могут быть использованы для разработки ключевых рекомендаций по тактике и стратегии совершенствования системы IT-управления в целом и отдельных IT-процессов, а также для формирования методической основы систем внутреннего контроля и аудита за информационными технологиями организации. Применение рассмотренной выше методики аудита позволяет компании взглянуть на свою систему IT-управления через призму международных стандартов и практического опыта и, как следствие, получить профессиональную экспертную оценку:

  • степени ее соответствия требованиям стандартов, что может быть использовано для определения готовности организации к прохождению сертификационного аудита;
  • ее адекватности целям эффективного формирования добавочной ценности для бизнеса при использовании информационных технологий;
  • ее устойчивости при реализации различных сценариев, например, если рассматривается расширение бизнеса, то оценивается готовность службы IT масштабировать свою деятельность, если речь идет о масштабном переходе на новые информационные системы, анализируется готовность обеспечить надежный переход на новые системы в оптимальный срок, для изменения объемов финансирования оценивается степень адаптивности к соответствующим условиям. На основании проведенной работы вырабатываются рекомендации по стратегии развития управления подразделениями IT, в том числе конкретных процессов управления, предотвращению рисков, совершенствованию работы IT-подразделений и формированию системы внутреннего контроля. Таким образом, IT-аудит закладывает основу для эффективной работы компании в сфере, имеющей первоочередное значение для уровня ее конкурентоспособности, намечает план мероприятий, который остается только воплотить в жизнь. Все остальное уже будет зависеть от самой компании, а точнее, от ее готовности четко следовать выработанным рекомендациям.
Таблица 6. Оценка остаточного уровня IT-риска

Уровень неотъемлемого риска от 0 до 5 (экспертная оценка)

Влияние уровня зрелости IT-процесса (в рамках которого управляется риск) от 0 до 5

Оценка остаточного риска

S = 5 × R1 - L 2

Риск увеличения времени от начала разработки до готовности систем из-за отсутствия гибкой инфраструктуры

Риск увеличения времени простоя инфраструктуры

Риск увеличения проблем, связанных с производительностью работы приложений и вызванных несоответствиями в технологической инфраструктуре

Риск нехватки мощностей при внедрении новых IT-решений

Риск повышения затрат на IT-инфраструктуру вследствие создания необоснованных резервов «про запас»