Введение: что такое ИТ аудит?
Тема ИТ аудита становится все более популярной в широких кругах, давайте внесем ясность, что же такое «Аудит в ИТ».
В какой ситуации кто-либо задумывается проводить ИТ аудит?
Обычно это:
• На работу пришел новый генеральный директор (проводится общий аудит), ИТ директор,
• Руководство не совсем понимает, что происходит в ИТ отделе и на что идут деньги?
• Кто-то кому-то не доверяет, хочется взгляда на проуесс со стороны,
• Хочется проверить, все ли «правильно» делается в ИТ?
• В некоторых случаях закон обязывает проводить независимую оценку ИТ, к примеру, на предмет безопасности ИТ систем.
Какие обычно цели преследуются при проведении ИТ аудита:
• Получение независимой авторитетной информации о работе ИТ,
• Получение авторитетной оценки на соответствие каким-либо нормам и правилам,
• Получение экспертного мнения,
• Соблюдение требований законов.
Для каждой цели могут быть свои модели и способы проведения ИТ аудита. Таким образом необходимо каждый раз уточнять, что же имеется ввиду, и какой смысл стоит за словами «Проведение ИТ аудита».
По отдельным направлениям уже существуют стандарты, группы и ассоциации ИТ аудиторов, но по многим еще нужно подождать «зрелости сообществ» и появления стандартов.
Так как при проведении ИТ аудита намного больше значит «кто проводит», чем «как» и по какой схеме, то частую руководители предприятий обращаются именно к тем, кому доверяют, с просьбой – «посмотрите, как дела у меня с ИТ?». Отметим, что часто такая позиция оправдана:
• Исполнитель знаком с Заказчиком, его бизнесом, основными целями и рисками бизнеса,
• Его мнение авторитетно, следовательно результаты могут быть использованы,
• Разговор с заказчиком будет на «одном языке», что сокращает в несколько раз сроки и бюджет проекта.
Чего ждать от результатов аудита?
Для какой бы цели не проводился ИТ аудит, он должен достичь результата. Отчет аудитора должен быть прежде всего доказателен. Как правило, в отчете содержатся рекомендации, что тоже важно, и часто именно рекомендации являются целью ИТ аудита.
Ведь целью должна являться фиксация текущих результатов и понимание направления движения вперед. Аудит – это не вотум недоверия ИТ службе предприятия, а признак управленческой зрелости команды.
Краткий обзор моделей ИТ аудита
Как уже говорилось ранее, выбор конкретной модели зависит от целей проведения ИТ аудита.
Аудит - «Все ли правильно?» («как надо?»)
В строгом понимании слова, аудит возможен лишь на соответствие чему-либо.
К примеру, аудит ИТ проекта проводится на предмет соответствия нормам, указанным в Уставе проекта, и регламентам организации Заказчика. Каких-либо единых для всех норм по поводу того, как внедрять ИТ проекты – не существует, все носят рекомендательный характер.
Если утвержденных в проекте норм нет – то необходимо говорить скорее об ЭКСПЕРТИЗЕ проекта.
Тоже самое относится и в целом к управлению ИТ в организации. Обязательных для всех норм – не существует. Каждый раз, проводя ИТ аудит, вы должны выбрать «модель», которую считаете эталоном, и сравнивать с ней.
Примеры таких моделей: (но каждая из которых требует адаптации и имеет свои границы применимости) ГОСТ 34.хх, COBIT, ISO 12207, ISO 9001, ISO 20000 и т.д.
Аудит: можно ли эффективней?
Как правило, модели ИТ аудита с такой целью основываются на оценке рисков или же на экспертизе аудитора в какой-либо конкретной области.
Если у заказчика есть сомнения в чем-либо, это можно представить в виде рисков. Следует заметить, что управление на основе рисков требует довольно продвинутого и специфического менеджмента, такая модель не сильно распространена не только у нас, но и на западе. В тоже время, часто проводят аудит с целью снижения какого-либо одного ключевого риска. Все помнят эпопею с ИТ аудитом «проблема 2000».
Аналогично с эффективностью: как правило, речь идет об одной или двух статьях в бюджете, и внимание аудитора привлекают конкретно к ним. В таких вопросах чаще обращаются к экспертизе.
Основные этапы аудита
Фактически, проведение любого ИТ аудита состоит примерно из следующих этапов:
• Уточнение целей и согласование процедур проведения ИТ аудита,
• Проведение обследования и документирования
• Проведения проверок
• Составление рекомендаций и формирование отчета.
Как правило, для проведения таких работ используют интервьюирование, анализ имеющихся документов. У Исполнителя имеется своя база проверочных вопросов для определения реального положения дел в рамках выбранной модели.
На что надо обратить внимание?
Самое главное – это четко определить цели проведения ИТ аудита, записать их и обсудить с аудитором как цели, так и стратегию проведения аудита.
Организации необходимо заранее спланировать саму возможность проведения аудита. На практике часто сталкиваются с такими банальными проблемами, как соглашение о конфиденциальности. Для получения формального доступа к документации часто необходимо согласие разработчика, если не в 99% случаях. Очень редко предприятия предусматривают такую возможность в договорной документации, сокращая свои возможности в будущем.
Таким образом, вопрос, «кто проводит» ИТ аудит является одним из основных. Не достаточно выбрать известный бренд, нужно выбирать тех специалистов, которым вы доверяете. Основную ценность здесь представляют личные знания и опыт аудиторов.
Аудит процессов ITSM.
При проведении аудита процессов ITSM часто используют собственные методики, основанные на ITIL, или же модель CobiT, стандарт ISO 20 000, или модели вендоров.
Обычно, аудит ITSM процессов используется для обоснования и понимания дальнейших путей развития, исправления ошибок. Или же как плановое мероприятие.
В большей части случаев, такие аудиты проводятся при смене руководства, управляющих компаний, кризиса в управлении.
Не зря проекты внедрения ITSM относятся к сложной категории, зачастую, находится только с трудом работающая служба Service Desk на очень дорогом программном обеспечении, и сложные инструкции, написанные консультантами, не имеющими достаточного опыта.
Аудит процессов ITSM в организации с применением формальных моделей хорош как регулярное, изначально запланированное мероприятие. Когда проект планомерно развивается несколько лет.
В проектах такого рода огромное значение имеет правильно отстроенное отношение с бизнесом, правильная мотивация ИТ персонала и всей команды. В ITIL приводится оценка, что «мягкие» (не связанные с техникой) факторы определяют успех проекта на 70%. И уж точно, применение формальных подходов аудита имеет мало смысла, где не распространена сама концепция ITSM. Результаты такого аудита можно написать еще до его проведения.
Не стандартные варианты проведения аудита
Часто ИТ аудит проводят не «широким фронтом», а для решения конкретных задач сегодняшнего дня.
При ведении большого проекта, иногда фирму аудитора привлекают для работы в регулярном режиме. Это приводит к расчетному удорожанию проекта на 5-10%, но резко снижает риски проекта. Т.е. по факту, снижает совокупную стоимость проекта. Крайне редки случаи превышения бюджета, а если аудитор получает премиальные от экономии бюджета – то его усилия всегда оправдываются.
Бывает, не хватает информации для обоснования большого проекта, или проведения больших изменений в проекте. В некоторых случаях обосновать аудит проще, чем проект подготовки технико-экономического обоснования. Аудитор может предоставить реальную информацию и рекомендовать нужный для организации проект, даже не подозревая о такой цели аудита.
Проведение аудита возможно также для целей смены, дублирования подрядчика. Сложные проекты или услуги выполняются большими командами специалистов, и быстро заменить команду всегда является крайне серьезной проблемой. При смене команды всегда имеется большой риск резкого «спада производительности», если уже объявлено о смене состава. Проведение аудита дает возможность новым сотрудникам подготовится к работе, участвуя в аудите, и исключить фактор «демотивации» предыдущей команды в проекте.
Снижение недовольства пользователей ИТ услугами. Зачастую, ИТ директор не имеет достаточно авторитета в организации, по сравнению с ее ключевыми менеджерами. Если зреет конфликт, то имеет смысл привлечь «авторитет» со стороны.