Крошка сын к отцу пришел,
и спросила кроха:
— Что такое хорошо
и что такое плохо?
— У меня секретов нет,-
слушайте, детишки,-
Папы этого ответ
помещаю в книжке.
В. Маяковский
В определенный момент времени любой руководитель может задаться вопросом: «Правильно ли то, что я сейчас делаю? А если нет, то что делать и куда двигаться?». Одним из эффективных способов получения ответов на подобные вопросы в области информационных технологий является ИТ-аудит.
В данной статье речь пойдет о смысле аудита в ИТ-области: задачах проведения, специфике ИТ-аудита, о понимании целей и через понимание — получении в конечном итоге максимальной выгоды от проведенного ИТ-аудита.
На сегодняшний день в РФ (и чем дальше в лес, тем страшнее) не существует единого взгляда на определение самого понятия «ИТ-аудит», но можно точно сказать, что суть аудита — независимая экспертиза, проводимая с целью проверки соответствия какого-либо объекта заданным критериям. Также существуют мировые практики и методологии, регламентирующие проведение ИТ-аудита.
В общем случае, википедийно, определение аудита звучит так: «Аудит — это процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта». И ключевое слово здесь — оценка. Не стоит путать инвентаризацию с аудитом. Учет аппаратного и программного обеспечения является лишь возможной его составляющей. То есть, аудитом является комплекс мер, направленных на проверку (оценку) соответствия объекта аудита каким-либо критериям.
Опираясь на общепринятые практики и методологии (в первую очередь CobIT), можно сказать, что ИТ-аудит — это процесс, осуществляемый в интересах заказчика аудита (а они бывают разные, об этом ниже), в рамках которого происходит следующее:
- определение задач, границ, объектов, ресурсов обследования и формирование плана аудита;
- определение критериев оценки и формирование программы оценки, направленной на устранение рисков для бизнеса;
- запрос, получение, верификация и качественная оценка данных, собранных в процессе аудита;
- формирование итоговой оценки в виде независимого аудиторского заключения;
- выработка рекомендаций, направленных на снижение уровня рисков, зависящих от ИТ; повышение уровня зрелости системы процессного управления ИТ; повышение вклада ИТ в достижение бизнес-целей.
Таким образом, профессиональное решение вышеописанных задач и выражение компетентного мнения — оценка текущего состояния и рекомендации по усовершенствованию ИТ-инфраструктуры — является сутью ИТ-аудита. Описанный уровень аудита направлен на обследование процессной деятельности в ИТ и приемлем в организациях, имеющих достаточно развитую структуру управления в ИТ.
В свою очередь, у компаний с низким уровнем зрелости управления ИТ (а это, как правило, компании уровня SMB) больший интерес может вызывать аудит состояния информационных систем — технический аудит ИТ. Обычно он проходит по следующему сценарию:
- проводится инвентаризация объектов аудита — оборудования, ПО, систем передачи данных, средств информационной безопасности и т. п. В общем случае обследование касается всей ИТ-инфраструктуры организации в силу ее эсэмбишности, но предварительно всегда стоит оговорить глубину обследования, требования к отчетной документации, сформировать и утвердить с двух сторон план обследования;
- осуществляется сбор статистической информации по нагрузке на исследуемые объекты ИТ-инфраструктуры с применением различных практик и методологий (крайне интересная к обсуждению тема, выходящая за рамки данной статьи);
- проводится анализ полученных инвентаризационных и статистических данных. По результатам анализа формируются выводы об уровне соответствия обследуемой ИТ-инфраструктуры заданным критериям. Этот этап, пожалуй, наиболее важен для обеспечения адекватности результатов аудита, так как требует должного уровня аналитической работы и экспертной оценки;
- и наконец вырабатываются рекомендации, направленные на повышение эффективности работы технической составляющей ИТ-инфраструктуры. И тут как со всеми рекомендациями — можно согласиться на все сразу, а можно выбрать наиболее ценные и важные для бизнеса и следовать только им.
Теперь о заказчиках аудита. Аудит как проверка возник изначально в финансовом мире и произошло это довольно давно, Википедия сообщает нам: «Потребность в аудите, как предполагается, возникла одновременно с зарождением и развитием товарообменных и денежных отношений. Наиболее древние свидетельства проведения аудита относятся к Китаю около 700 г. до н. э. Развитие аудита было тесно связано с особенностями финансово-промышленной истории отдельных стран и определялось прежде всего характером развития рыночного капитала. В Средние века в европейских торговых городах по просьбе контрагентов купцов (как правило, других купцов или банковских институтов) аудиторы проверяли бухгалтерские книги купцов и свидетельствовали их достоверность. В XIX веке основными заказчиками аудита стали, помимо кредиторов, собственники компаний, что связано с активным развитием акционерных и ограниченных компаний, в которых собственники не занимались текущим управлением и, соответственно, нуждались в периодической проверке нанятых управляющих». Таким образом, в отношениях «владелец бизнеса — управляющий» аудит был и остается инструментом, который позволяет первым проверить деятельность вторых. И ИТ-аудит, принципиально являясь проверкой на соответствие в области ИТ, не исключение. Заказчиком для проведения ИТ-аудита может быть:
- внешняя организация (возможно, управляющая компания или владелец бизнеса) — внешняя проверка процессной деятельности ИТ. Проведение такого аудита возникает из потребности внешнего заказчика в необходимости оценки уровня соответствия процессов управления ИТ бизнес-целям организации;
- топ-менеджмент — внутренняя проверка технического состояния или процессной деятельности ИТ в целях определения соответствия заданным критериям;
- руководство ИТ-службы — внутренняя проверка в целях определения соответствия, как правило, только технического уровня ИТ организации заданным критериям.
В качестве исполнителя работ по проведению ИТ-аудита (процессного или технического) может быть использован внутренний штат сотрудников, внешняя организация или приглашенные специалисты. При этом аудит, проводимый внешней организацией, не обязательно будет являться «внешним», тут все зависит от стороны, на которой находится заказчик (если вы боитесь внешних проверок).
Вот вкратце и все об ИТ-аудите. Резюмируя, аудит в ИТ происходит как на процессном так и на техническом уровне и позволяет оценить степень соответствия исследуемых объектов заданным критериям; выявить потенциальные риски, зависящие от ИТ; получить рекомендации по устранению этих рисков. Его не стоит бояться и его необходимо проводить — эффективно и с максимальной выгодой для своего бизнеса.
Кстати, к слову о выгодах проведения ИТ-аудита специалистами DEPO Computers (да, это реклама, но они обещали убить мою кошку). По результатам обследования дополнительно формируется техническое решение (что, как правило, не делается в рамках ИТ-аудита), позволяющее эффективно выполнить рекомендации по улучшению ИТ-инфраструктуры. И при желании заказчика мы сами же его и реализуем.
Вот теперь точно все. Приглашаем сообщество к бурному обсуждению!
usmax,
старший системный инженер DEPO Computers
Автор: DEPOteam
