- результати діагностики
- Моделі ІТ аудиту
- Аудит ITSM процесів
- Нестандартні способи проведення перевірки
Тема ІТ аудиту з кожним роком стає все популярнішим серед представників вітчизняного бізнесу. Тому необхідно широко висвітлити, що ж таке, власне, аудит ІТ процесів.
- При приході нового генерального або ІТ директора часто проводиться загальна діагностика.
- Причиною може стати низький рівень довіри до роботи внутрішньої ІТ служби, необхідність сторонньої оцінки.
- У керівника виникають питання з приводу ситуації з ІТ та грошових витрат на утримання системи.
- Іноді незалежна оцінка проводиться відповідно до вимог закону, зокрема, на предмет безпеки системи.
- Керівництво хоче упевнитися в тому, що в ІТ все «робиться правильно».
Цілі проведення аудиту ІТ процесів :
- Отримання авторитетної незалежної експертної оцінки.
- Оцінка на відповідність певним нормам або правилам.
- Дотримання вимог закону.
- Отримання думки професіоналів.
Для кожної з перерахованих цілей можна використовувати власні моделі і методи проведення діагностики. Тому фахівці схильні вважати, що необхідно кожен раз точно розуміти, що ж в даному випадку мається на увазі, і яку мету переслідує проведення перевірки. Окремі напрямки перевірки вже володіють власними стандартами, групами і асоціаціями аудиторів, але багатьом ще до цього далеко.
Під час перевірки часом то, хто її проводить, значить більше, ніж те, яким чином і з застосування якої моделі це робиться. З цієї причини часто керівництво підприємства готове звернутися з питанням проведення аудиту ІТ проектів до того, кому довіряє. В яких випадках такий підхід виправданий:
- аудитор знайомий з компанією-замовником, її бізнесом, стратегічними цілями і ймовірних ризиків;
- думка виконавця авторитетно в середовищі професіоналів, тому результати перевірки можна використовувати в різних цілях;
- взаєморозуміння між замовником і підрядником вже встановлено, що може сприяти скороченню термінів і бюджету проекту.
результати діагностики
Яку б кінцеву мету не мало тестування, він повинен приносити реальні результати. Звіт аудиторів зобов'язаний бути доказовим і повним. У більшості випадків він містить корисні рекомендації, і це теж дуже важливо, оскільки саме поради по оптимізації роботи інформаційної системи підприємства і є ключовою метою перевірки.
У нас ще поширена ситуація, при якій проведення перевірки повинно спричинити за собою покарання винних у разі його незадовільних результатів. Насправді завданням діагностики повинна бути фіксація поточного стану справ і розуміння способів його поліпшення. Аудит ІТ процесів - не недовіра до внутрішнього ІТ підрозділу, а ознака зрілості ведення бізнесу.
Моделі ІТ аудиту
Вибір певної моделі залежить від завдань проведення. Можливий аудит на відповідність чого-небудь. Так, аудит ІТ проектів може бути проведено на предмет відповідності зазначених у статуті норм регламенту компанії (в разі, якщо у неї існують власні СТП (стандарти підприємства) за проектами в сфері ІТ, стандартні профілі та ін.). При цьому загальних норм для ІТ проектів не існує, що діють мають рекомендаційний характер. У разі, якщо затверджених норм в проекті просто немає, можна говорити про експертизу проекту.
Ті ж параметри відносяться і до сервісу, і до управління ІТ в компанії в цілому. Обов'язкових до дотримання норм просто немає. При проведенні тестування необхідно вибрати еталонну модель і проводити порівняння з нею. Серед подібних моделей: ГОСТ 34.хх, ISO 12207, COBIT, ISO 20000, ISO 9001 та ін. Слід враховувати, що кожна з них вимагає адаптації при кожній конкретній перевірці і має свої рамки застосування.
Якщо основним питанням обстеження стає питання оптимізації роботи інформаційної структури, то вибирається модель, яка ґрунтується на оцінці можливих ризиків або на експертизі в певній галузі.
У разі, якщо у керівництва аудируемой компанії є сумніви в будь-якому параметрі в області ІТ, це можна уявити як ризик. При цьому управління на основі ризиків має на увазі розвинений специфічний менеджмент. Через це подібна модель не отримала широкого поширення ні в нас, ні за кордоном. Діагностику часто проводять і з метою зниження ймовірності одного основного ризику. Наприклад, свого часу аудит часто проводився в зв'язку з «проблемою 2000».
Також йде справа і з ефективністю. Якщо керівництво цікавить тільки пара бюджетних статей, то для їх перевірки та залучається аудитор. Зазвичай в подібному випадку проводиться експертиза.
Етапи ІТ аудиту:
- уточнення мети та узгодження заходів, що проводяться;
- проведення обстеження з документуванням;
- перевірки (тестування);
- формування рекомендацій і звіту.
Зазвичай при проведенні заходів обстеження застосовується інтерв'ювання керівництва і співробітників клієнтської компанії, аналіз наявної документації. Аудитор своєму розпорядженні власну базу перевірочних питань, що задаються для визначення реальної ситуації в рамках застосовуваної моделі.
Найважливіше при проведенні ІТ аудиту
В першу чергу необхідно визначитися з цілями і зафіксувати їх письмово. Далі аудитор і замовник повинні обговорити між собою не тільки завдання, але і стратегію майбутнього аудиту.
Кожна компанія зобов'язана завжди враховувати можливу необхідність проведення перевірки. Так, проводить обстеження фірма може зіткнутися з такою проблемою, як угода про конфіденційність. Аудитору для того, щоб отримати формальний доступ до документації, може знадобитися згода розробників, при цьому більшість вітчизняних організацій вельми рідко передбачають дану можливість в договорі, що створює в майбутньому об'єктивні труднощі.
Як ми вже говорили, питання про те, хто буде проводити перевірку, залишається одним з головних. Не завжди відоме ім'я аудиторської компанії є запорукою її бездоганної роботи. Потрібно вибрати саме тих фахівців, яким компанія-клієнт зможе довіряти. При цьому орієнтуватися слід на цінні знання та великий досвід аудиторів, а не на питання найнижчої ціни, наприклад.
Аудит ITSM процесів
У ряді випадків передбачає використання власних методик, заснованих на ITIL, любо ж моделі вендорів, CobiT і т.п. Як правило, цей вид діагностики проводиться з метою визначення і обґрунтування подальшого розвитку інформаційної структури підприємства та ліквідації знайдених помилок, або ж як планова процедура. Часто здійснюється після зміни керівників компаній або в разі управлінської кризи.
Кожен проект впровадження ITSM є надзвичайно складним. Іноді аудитори виявляють лише де-не-як функціонуючу службу підтримки, яка працює на наддорогі ПО, і надто ускладнені інструкції, створені теоретиками, які не мають достатнього уявлення про реальному функціонуванні інформаційної системи.
Аудит ITSM процесів на основі формальної моделі необхідний як періодично проводиться запланована процедура при планомірному розвитку проекту протягом кількох років. Впровадження ITSM - завжди складне завдання, при реалізації якої величезну роль відіграє налагоджене взаємодія з менеджментом підприємства і вірна мотивація штатних ІТ фахівців, оскільки дані фактори впливають на успішність проекту майже на дві третини. Формальні ж підходи до діагностики без використання концепції ITSM мають мало сенсу, оскільки результат такої перевірки можна передбачити ще до її закінчення.
Нестандартні способи проведення перевірки
Найчастіше діагностику проводять не комплексно, а з метою вирішення певних завдань. Аудит ІТ проектів, що мають великий масштаб, зазвичай має на увазі регулярні перевірки, що призводить до збільшення вартості проекту до 5-10%, але одночасно істотно знижує ймовірність ризиків. При цьому перевищення бюджету трапляється дуже рідко.
Іноді компанії не вистачає відомостей для обгрунтування необхідності реалізації великого проекту або великих змін в ньому, тому обгрунтувати діагностику стає простіше, ніж проект техніко-економічного обґрунтування. До того ж аудитор зможе надати реальні дані і порекомендувати відповідний проект.
Обстеження іноді проводять і для зміни або дублювання постачальника послуг. У разі наявності великої команди її швидка заміна стає важким завданням, тому що може привести до різкого зниження продуктивності. Проведення ж професійної перевірки допоможе новим фахівцям підготуватися до виконання своєї роботи, беручи участь в проведенні діагностики, підвищивши рівень їх мотивації.
Також аудит може допомогти знизити невдоволення користувачів послугами в сфері ІТ, особливо, якщо ІТ керівник має менший авторитет в компанії, ніж топ-менеджери. Оцінка з боку допоможе запобігти конфлікту і підкаже шляхи оптимізації функціонування ІТ інфраструктури підприємства.