Виды заработка 

Аудит ит софт. Комплексный IT-аудит — коммерческое предложение


Отправить заявку

Если на предприятии зародилась мысль о том, что было бы неплохо автоматизировать ту или иную часть бизнес-процессов, то первым шагом должен стать ИТ-аудит – независимый анализ соответствия IT-системы предприятия установленным стандартам и критериям.

Проведение ИТ-аудита предприятия – это неотъемлемая часть автоматизации. Именно предпроектный анализ позволяет понять, какие участки бизнеса требуют автоматизации, а усовершенствование каких не приведет к положительному результату.

Основными направлениями ИТ-аудита являются:

  • технологическая инфраструктура;
  • информационная безопасность предприятия;
  • информационные системы;
  • ИТ-подразделение.

Основные задачи ИТ-аудита

Основной задачей информационного аудита являются организация и осуществление контроля над работой технологической базы предприятия. Помимо этого, можно выделить следующие задачи:

  • помощь в подготовке
    документов;
  • предотвращение и устранение
    сбоев в системе;
  • контроль над рисками ИТ;
  • помощь в правильном
    управлении компанией.

Итоги предпроектного ИТ-анализа инфраструктуры предприятия:

  • Вы наверняка знаете, что планируете автоматизировать.
  • Вы знаете, сколько примерно времени потребует автоматизация.
  • После предпроектного обследования можно приступать к разработке Технического задания для создания системы.
  • Вы знаете, примерно в какую сумму обойдется автоматизация предприятия.
  • Самое главное – Вы точно знаете, что даст автоматизация и оправдана ли она экономически!

В случае, если на Вашем предприятии уже есть ИТ-инфраструктура, и Вы планируете ее расширять, то предпроектный IT-аудит поможет оценить адекватность использования тех или иных решений, укажет на потенциальные проблемы при внедрении новых информационных систем.

Учитывая то, что в современных условиях автоматизация бизнеса играет большую роль для его конкурентоспособности и стабильного развития, а также то, что постоянное совершенствование технологий и программных решений, на основе которых осуществляется автоматизация предприятия, значительные средства, вложения которых требует автоматизация бизнеса на стадии внедрения и эксплуатации, особое значение приобретает анализ и контроль руководством компании состояния ее IT-инфраструктуры.

Виды ИТ-аудита

Специалисты нашей компании готовы провести ИТ-аудит следующих видов:

Тип

Описание

Аудит ИТ-инфраструктуры

Выявление износа оборудования, поиск слабых мест и определение их критичности для бизнеса.

Анализ компетенции ИТ-персонала

Интервьюирование системных администраторов, описание компетенций и рисков.

Опрос удовлетворенности пользователей

Анализ жалоб и пожеланий пользователей и выявление на их основе слабых мест в коммуникациях технического персонала с пользователями.

Проверка SLA

Анализ соглашения об уровне услуг, качества его исполнения (на основе практик ITIL), его составление (при отсутствии).

Аудит информационной безопасности

Предоставление полноценного отчета согласно стандартам ISO/IEC 27001.

Отчет о возможных рисках

Составляется при внедрении риск-менеджмента на предприятии.

Обоснование затрат в ИТ

Анализ прямых и косвенных расходов на ИТ-инфраструктуру, структурирование и предоставление рекомендаций.

Как мы работаем?

Что необходимо?Выяснение целей Подбор опций для ИТ аудита

Делаем
Выполнение работ

Показываем Презентация
результатов

Исправляем?
Разработка плана мероприятий Реализация плана

Что является итогом IT-аудита?

  1. Вы получаете аудиторское заключение
    по текущему состоянию
    ИТ-инфраструктуры вашей компании.
  2. Предоставляется план для развития
    ИТ компании на 1–3 года.
  3. По предоставленному плану
    проводится детальная проработка.

Между тем, вполне очевидно, что далеко не каждый руководитель может составить объективную и адекватную оценку по данному вопросу. В связи с этим можно говорить о главной функции, исполнение которой возлагается на независимых специалистов, выполняющих IT-аудит: предоставление менеджменту компании объективного отчета о том, насколько правильно осуществлена разработка баз данных, составляющих основу информационной системы, насколько эффективно осуществлена автоматизация производственных процессов и управления компанией. Также одним из главных вопросов, ответ на который должен дать IT-аудит, является то, насколько реализованные решения в области информационных технологий соответствуют бизнесу компании и стоящим перед ней задачам. В конечном итоге ИТ-аудит инфраструктуры дает оценку эффективности инвестиций средств, вложенных в автоматизацию, возможных путей, с помощью которых эта автоматизация может быть оптимизирована.

Почему стоит заказать IT-аудит?

Реальную картину текущего состояния программно-цифрового и аппаратного обеспечения предприятия могут дать только независимые специалисты. Собственные сотрудники не всегда объективны при анализе ИТ, поскольку могут иметь определенную личную заинтересованность с целью:


  • скрыть недостатки в собственной работе;
  • получить выгоду при покупке программно-аппаратных компонентов у определенных поставщиков – даже если необходимость приобретения неочевидна или отсутствует.

В случае независимого аудита ИТ-инфраструктуры подобные нюансы исключены. Специалисты комплексно оценивают состояние корпоративной сети, рабочих станций и коммуникационного оборудования и дают объективное заключение с конкретными рекомендациями.

Особую актуальность анализ ИТ-инфраструктуры приобретает в связи с расширением бизнеса. Необходимо заранее предусмотреть и сформулировать требования к ее будущей производительности, а также уровню безопасности, надежности и безотказности с учетом возросших нагрузок.

Поэтому в развитых европейских странах, например, анализ ИТ предприятия считается обязательным мероприятием, поведение которого осуществляется с определенной периодичностью. В нашей же стране IT-аудит инфраструктуры заказывается главным образом в качестве предварительных работ по созданию новой или комплексной модернизации и оптимизации существующей информационной инфраструктуры компании. В данном случае это является действительно необходимым мероприятием, поскольку именно ИТ-аудит позволяет определить основные критерии и требования, которым должна соответствовать эффективная автоматизация бизнеса в каждом конкретном случае. Именно эти данные становятся основой разработки конфигурации будущей системы, дают возможность предложить и согласовать с заказчиком возможные варианты. В связи с этим оптимальным решением можно считать, если IT-аудит и автоматизация инфраструктуры предприятия будут выполняться одним исполнителем, что позволит обеспечить индивидуальный и комплексный подход к решению этой задачи.

Программа «IT Audit: Аудитор»

Программа «IT Audit : Аудитор» представляет собой конструктор для разработки методики проведения аудита, предлагая аудиторам гибкий инструмент для помощи в проведении аудита. Программа «IT Audit : Аудитор» обеспечивает автоматизацию деятельности аудиторской фирмы, связанной с проведением аудиторских проверок хозяйствующих субъектов.

Программа «IT Audit : Аудитор» разрабатывалась с учетом требований международных стандартов аудиторской деятельности (постановление Правительства РФ от 23 сентября 2002 г. № 696).

При проведении аудита небольшого предприятия (период проверки - 5 дней) применение программы «IT Audit : Аудитор» позволяет качественно спланировать, провести и запротоколировать выполненные аудиторские процедуры и результат проверки; при проведении аудита на среднем и крупном предприятии - сократить время на проведение аудита на 10-30%.

Программа обеспечивает:

1) ведение справочников по методологии аудита;

2) ведение учета клиентов;

3) ведение общений с клиентами;

4) учет заключенных договоров;

5) импорт данных бухгалтерского учета клиентов;

6) планирование аудиторских проверок;

7) формирование аудиторских проверок;

8) составление плана аудита;

9) составление программы аудита;

10) описание хозяйственных операций клиента;

11) расчет уровня существенности;

12) проведение выборки и анализ результатов;

13) форум аудиторов (общение аудиторов);

14) формирование сводной информации о найденных нарушениях;

15) формирование альтернативной отчетности;

16) контроль качества аудита Ковалева О.В. Аудит. Учебное пособие / Под ред. О.В. Ковалевой, Ю.П. Константинова. - М.: ПРИОР, 2008. - с. 128..

Программа «IT Audit : Аудитор» позволяет систематизировать информацию по клиентам аудиторской фирмы (число не ограничено), хранить информацию о реквизитах клиента, фактическом и юридическом адресе, контактных лицах, переговорах с клиентом, заключенных договорах, ответственных за работу с клиентом лицах и др. Программа допускает сортировку клиентов по различным характеризующим их параметрам.

Сведения о клиентах хранятся в соответствующем Справочнике клиентов . В Справочник клиентов также заносится информация о сотрудниках проверяемой организации.

Информация о заключенных с клиентом договорах также может быть занесена в информационную базу системы.

В программе значительное место уделено методологическому сопровождению аудита, причем сопровождение может осуществляться как разработчиками, так и самой аудиторской фирмой.

В состав программы «IT Audit : Аудитор» включены следующие справочники:

1) объекты аудита (разделы аудита);

2) аудиторские процедуры;

3) потенциальные нарушения;

4) типовые операции.

Программа позволяет установить взаимосвязь между аудиторскими процедурами и нарушениями, объектами (задачами) аудита и аудиторскими процедурами. Взаимосвязь устанавливается с использованием справочников.

Справочник объектов (разделов) аудита является основным, а справочники аудиторских процедур, потенциальных нарушений и типовых хозяйственных операций - подчиненными.

Справочник «Аудиторские процедуры» используется при формировании программы аудита и содержит шаблоны рабочих документов аудитора, заполняемые при проведении аудита. Значительная часть рабочих документов может быть заполнена автоматическими данными бухгалтерского учета клиента. С использованием данного справочника может быть установлена базовая трудоемкость выполнения соответствующей аудиторской процедуры. Аудиторская процедура - определенный порядок и последовательность действий аудитора для получения необходимых аудиторских доказательств на конкретном участке аудита (объекте аудита).

Справочник «Потенциальные нарушения» содержит наименование и описание потенциального нарушения. При выявлении нарушений на аудируемом предприятии справочник используется при формировании отчета аудитора.

Необходимо рассмотреть, как в программе реализуются основные требования федеральных законов.

Правило (стандарт) №2 «Документирование аудита».

Программа «IT Audit : Аудитор» дает аудитору широкие возможности по документальному закреплению полученных при проведении аудита доказательств, формированию необходимых рабочих документов с целью выполнения федеральных правил (стандартов) аудиторской деятельности, обеспечению хранения и резервного копирования, просмотра и вывода на печать.

Приведенные требования стандарта выполняются программой в результате заполнения форм: «Планирование аудита», «План аудита», «Программа аудита», «Задание на аудит», «Описание хозяйственных операций клиента».

Полученная при проведении аудита информация хранится в разделах:

1) общая информация по клиенту;

2) информация, относящаяся к заключенному договору;

3) информация, относящаяся к периоду, за который будет сформировано заключение аудитора;

4) информация, относящаяся к конкретному периоду проведения аудита.

Программа предусматривает разграничение права доступа к информации в разрезе клиентов, обеспечивая надежное хранение информации по клиенту и этапам проведения аудита.

Правило (стандарт) №3 «Планирование аудита».

В программе «IT Audit : Аудитор» проводится планирование аудита с целью его эффективного проведения в программе аудита и форме «Описание хозяйственных операций».

Сформировать детальный план аудита можно в программе аудита, где учитываются применяемые аудиторские процедуры, их распределение мжду сотрудниками и очередность выполнения, устанавливаются плановая и фактическая трудоемкость выполнения аудиторских процедур, описание процедур контроля хода проведения аудита. При этом допускается внесение изменений в течение всего времени проведения аудита.

Правило (стандарт) №4 «Существенность в аудите».

Программа «IT Audit : Аудитор» позволяет выполнять расчет существенности несколькими способами: в целом по отчетности, распределять по счетам бухгалтерского учета в разрезе существенности:

1) по дебету счета;

2) дебетовому обороту счета;

3) кредитовому обороту счета;

4) кредиту счета.

Выбор аудиторских процедур производится в формах «Программа аудита» и «Описание хозяйственных операций». Совокупность неисправленных искажений обобщается в форме «Альтернативная отчетность».

Правило (стандарт) №7 «Внутренний контроль качества аудита».

Руководителю проверки предоставлена возможность текущего контроля хода проведения аудита, формирования задания и замечаний в формах «Описание хозяйственных операций», «Программа аудита», «Общение аудиторов».

В формах «Описание хозяйственных операций», «Программа аудита», «Общение аудиторов» имеется возможность детального описания действий аудиторов и их ассистентов при выполнении порученной работы, а также прикрепления подлежащих заполнению рабочих документов.

В настоящее время ведется работа по включению в программу новых правил (стандартов).

В форме «Проведение выборочного исследования» аудитор на основе проверяемой (генеральной) совокупности может отбирать элементы, превышающие уровень существенности, ключевые элементы и формировать выборочную совокупность различными способами.

Аудитору также предоставлена возможность анализировать хозяйственные операции клиента, представленные в форме «Описание хозяйственных операций», устанавливать способы проверки операций (сплошная проверка, выборочная проверка, непроведение проверки, подтверждение низкого уровня риска).

Встроенные в программу «IT Audit : Аудитор» средства фильтрации (отбора) данных бухгалтерского учета позволяют выполнять стратификацию данных по любым критериям с возможностью последующей выгрузки данных для выборочного исследования или заполнения рабочего документа аудитора.

Программа позволяет аудитору произвести экстраполяцию выявленных при проведении аудита ошибок на всю генеральную совокупность.

Преимущества применения программы по автоматизации аудита :

· программа продается и сопровождается непосредственно разработчиками (без посредников), что позволяет сократить расходы покупателя на приобретение программы и ее последующее сопровождение;

· охватывает все аспекты аудиторского бизнеса (занятость сотрудников, организация договорной работы, учет клиентов, планирование аудита, работа в «поле» и т.д.);

· позволяет систематизировать всю информацию по результатам аудиторской проверки, возможность архивации и последующего доступа к данным;

· широко используется сотнями аудиторских фирм (от компаний, входящих в первую десятку, до небольших аудиторских компаний и индивидуальных аудиторов);

· является конструктором и позволяет пользователям самостоятельно настраивать методологию аудиторской проверки;

· содержит значительное количество шаблонов рабочих документов аудитора;

· обеспечивает удобные средства загрузки в программу по автоматизации аудита данных бухгалтерского учета из наиболее распространенных бухгалтерских программ: 1С Предприятие 7.7 (8.1) и т.д.

· позволяет автоматически заполнять рабочие документы аудитора данными бухгалтерского учета;

· содержит шаблоны потенциальных нарушений, а также инструменты для ее самостоятельного наполнения пользователями;

· предусмотрены различные способы статистического выборочного исследования: собственно-случайный (повторный и бесповторный), механический (систематический), монетарный собственно-случайный (повторный и бесповторный) способ;

· производится автоматическое формирование постоянного (переменного) файла по результатам аудиторской проверки;

· имеет интуитивно понятный интерфейс, большой объем разработанной документации на программу и учебные материалы (Flash-ролики), что позволяет быстро приступить к работе Ковалева О.В. Аудит. Учебное пособие / Под ред. О.В. Ковалевой, Ю.П. Константинова. - М.: ПРИОР, 2008. - с. 135..

Применение программы по автоматизации аудита обеспечивает:

· систематизацию методологической работы;

· организацию эффективного планирования аудита;

· повышение качества проведения аудита;

· повышение оперативного и последующего контроля за ходом проведения аудита;

· снижение трудоемкости проведения аудита;

· выполнение стандартов аудиторской деятельности;

· повышение управляемости компании;

· разграничение прав доступа к материалам аудиторских проверок;

· систематизацию и архивирование информации.

Развитие информационных систем приносит компании очевидную пользу. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. IT-аудит позволяет выявить эти риски, оценить эффективность IT-системы и выбрать направления для ее совершенствования.

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности — вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

  • выбора неоптимального решения по автоматизации;
  • ошибок при проектировании;
  • нарушения расчетных сроков и бюджета проекта;
  • несоответствия между инфраструктурой и решениями по автоматизации;
  • технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
  • неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
  • неиспользование всего потенциала технологий;
  • невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
  • неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
  • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)

IT-процессы как ключевой объект аудита

Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

  • распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;
  • наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;
  • поддержание в полном и актуальном состоянии процессной документации на всех уровнях;
  • наличие и полнота механизмов измерения производительности и формирования внутренней отчетности для каждого IT-процесса, позволяющая руководству IT-службы оценивать степень достижения целевых показателей и, как следствие, принимать эффективные управленческие решения;
  • наличие процедур оперативного мониторинга текущей деятельности, обеспечивающих своевременную идентификацию операционных сбоев линейными менеджерами, например невыполнение сотрудниками штатных процедур;
  • наличие процедур информационного обмена между смежными IT-процессами;
  • методы и специальные инструменты, позволяющие повысить эффективность деятельности, например использования средств автоматизации для регистрации и учета обращений пользователей;
  • совершенствование деятельности на основе анализа текущей эффективности и планов развития информационных технологий.
Таблица 1

IT-процесс

Возможные признаки рисковой ситуации

Стратегическое планирование IT

На стадии стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии, что не позволяет в проактивном режиме оптимизировать работу IT-подразделения под фактические бизнес-требования.

Стратегическое планирование IT-деятельности выполняется по мере необходимости в ответ на конкретное требование бизнеса, и поэтому результаты являются эпизодичными и непоследовательными. Вопросы стратегического планирования иногда обсуждаются на встречах только на уровне руководства департамента IT, а не руководителей бизнес-подразделений. Настройка приложений и технологий под потребности бизнеса является реакцией на внешнее воздействие, например на предложения поставщиков, а не осуществляется на базе стратегии, разработанной в компании. Оценка стратегического риска не формализована и осуществляется от проекта до проекта.

Планирование IT-архитектуры

Не оптимизирована структура информационных систем, что повышает избыточность данных (дублирование) в корпоративной системе, а также снижает уровень совместимости систем и приложений.

Идет разрозненная разработка компонентов информационной структуры. Имеется частичная реализация схем данных, документации и правил синтаксиса данных. Определения относятся скорее к данным, чем к информации, и обусловлены предложениями поставщиков приложений. Разъяснение сотрудникам необходимости информационной архитектуры проводится хаотично и бессистемно.

Управление персоналом

Не оптимизирована политика в отношении найма и сохранения (мотивирования) квалифицированного персонала, что не позволяет обеспечивать максимальный вклад персонала в результат IT-деятельности.

Используется неформальный подход к найму и управлению персоналом, обусловленный скорее потребностями конкретных проектов, чем направлением развития технологии и продуманным соотношением предложений квалифицированных сотрудников внутри организации и на стороне. Осуществляется неформальное обучение новых сотрудников.

Управление проектами

Не оптимизированы подходы к управлению проектами, что приводит к невыполнению обязательств по срокам и стоимости работ. Решение об использовании методики и подходов к управлению проектами в области IT оставлено на усмотрение отдельных менеджеров.

Принципиальные решения по управлению проектами принимаются без управления пользователями и исходных данных клиента. Клиенты и пользователи не принимают участия в определении IT-проектов или их участие носит незначительный характер. IT-проекты плохо организованы: роли и обязанности участников, а также график выполнения проектов не определены, не отслеживаются трудозатраты.

Приобретение IT-инфраструктуры

Не оптимизирована и не стандартизирована деятельность по приобретению и обслуживанию инфраструктуры IT. При эксплуатации это приводит к снижению производительности систем и возникновению рисков безопасности в отношении данных и программ, хранящихся в системе.

Для каждого нового приложения в инфраструктуру вносятся изменения без какого-либо общего плана. Обслуживание организовывается как реакция на краткосрочные потребности. Средой для тестирования является производственная среда. Приобретение и обслуживание IT-инфраструктуры не базируется на какой-либо определенной стратегии и не учитывает потребности бизнес-приложений, которые необходимо поддерживать. Графики обслуживания не разработаны в полном объеме, и деятельность не координируется.

Управление услугами поставщиков

Не установлены четкие договорные отношения (соглашения) с поставщиками IT-услуг, включая определение ролей, ответственности и ожиданий, а также проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия, что повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Отсутствует формальная политика и порядок заключения договоров со сторонними организациями. Не осуществляется оценка деятельности сторонних организаций. Сторонние организации не предоставляют отчетность. В отсутствие обязательств о предоставлении отчетности высшее исполнительное руководство не владеет информацией о качестве предоставляемых услуг. Отсутствуют типовые условия договоров с поставщиками услуг. Оценка предоставляемых услуг осуществляется произвольно и фрагментарно. Методика зависит от индивидуального опыта отдельно взятого лица и от поставщика (например, по запросу).

Управление непрерывностью

Отсутствует формализованный подход к созданию (поддержанию и тестированию) планов обеспечения непрерывности IT-деятельности (в том числе планов резервного хранения данных), что делает в случае наступления чрезвычайной ситуации высоковероятным возникновение значительных перерывов в предоставлении IT-услуг по ключевым направлениям и процессам бизнеса.

Реакции на крупные нарушения заранее не продуманы и не подготовлены. Практикуются плановые отключения системы для обеспечения нужд IT-обслуживания без учета выполнения требований бизнеса. Подходы, применяемые к обеспечению непрерывности предоставления услуг, характеризуются неполнотой и фрагментарностью. Поступающая информация относительно доступности системы не учитывает состояние бизнеса. Нет документального обеспечения в отношении действий пользователя или в отношении обеспечения непрерывной работы.

Источник: каталог рисков, разработанный компанией «ИТ эксперт»

Открытые стандарты

CobiT (Control Objectives for Information and related Technology) — международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) — стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology - Service management) — стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой — нацеленный на IT-услуги — аналог ISO 9001:2000.

Этапы аудита

На предварительном этапе аудита — этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

  • предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;
  • согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;
  • формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки. Если заказчиком IT-аудита выступают представители руководства компании, то для получения более точного результата рекомендуется формировать анкеты в бизнес-терминах (табл. 2). С учетом временных и ресурсных параметров проведения аудита определяются границы аудита (сервисы, системы, подразделения и т.п.). При этом рекомендуется рассматривать наиболее значимые для целей бизнеса и/или распространенные сервисы и системы, чтобы иметь возможность на основе оценки определенной (ключевой) области аудита сделать объективные выводы о системе IT-управления в целом.

Таблица 2. Выдержка из анкеты для проведения интервью с руководством компании и ключевыми пользователями

Описание IT-риска (из каталога рисков компании «ИТ Эксперт»)

Оценка важности управления IT-риском

Выбранный вариант отметить

На этапе стратегического бизнес-планирования не рассматриваются вопросы IT-стратегии Последствия:

  • несвоевременное реагирование IT-службы на бизнес-инициативы (открытие новых офисов, автоматизация бизнес-процессов);
  • увеличение финансовых затрат на перевод бизнес-инициатив в конкретные IT-решения (неоптимальные и ошибочные решения, принимаемые IT в спешном порядке)

Риск несущественный

Пояснения к интервью: риск носит гипотетический характер и малозначим для деятельности компании (затраты на управление риском будут выше, чем полученный эффект)

Риск умеренный (приемлемый)

Пояснения к интервью: признается важность управления указанным риском в стратегической перспективе (на данном этапе допускается предварительная проработка вопроса, не требующая привлечения финансовых инвестиций и затраты существенных временных ресурсов бизнес-руководителей)

Риск выше среднего

Пояснения к интервью: признается важность управления указанным риском (в том числе выделение временных и финансовых ресурсов) уже в краткосрочной перспективе

Риск высокий

Пояснения к интервью: допускается, что реализация данного риска не только возможна в краткосрочной перспективе, но и уже происходила

Дополнительный параметр оценки

Признается необходимость совместного участия IT и бизнеса в управлении данным риском

Комментарии и пояснения:

С учетом полученной информации аудитор формирует анкеты, в которых указывает параметры аудиторских процедур по каждому IT-процессу, в том числе наименование детализированных целей контроля и примерное количество уточняющих вопросов. Чтобы оценка системы IT-управления была всесторонней, формируется иерархия вопросов от частных до высокоуровневых. Для анализа оценки уровня зрелости IT-процессов рассматриваются частные вопросы, сгруппированные в детализированные цели контроля. При этом учитывается полнота и достоверность предоставленных аудиторам данных и свидетельств.

Для примера приведем структуру анкеты для оценки IT-процесса «Управление услугами подрядчиков»:

Риски недостижения целей процесса:

  • отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Влияние на достижение целей

IT-деятельности:

  • обеспечение результативности IT-деятельности — умеренное влияние;
  • обеспечение рациональности IT-деятельности — высокое влияние;
  • обеспечение безопасности IT-деятельности — высокое влияние.

Детализированные цели контроля:

  • определение политик процесса и процедур деятельности;
  • распределение ролей;
  • менеджмент документов;
  • анализ контрактов;
  • управление договорными разногласиями;
  • передача прав;
  • ответственность и подотчетность;
  • инструментарий;
  • охват процесса;
  • отчетность и метрики. Следующий этап — аудит на месте («II» на рис. 1), в рамках которого проводятся интервью с сотрудниками компании-заказчика и верифицируются их результаты (табл. 3). На этом этапе рекомендуется решать следующие задачи:
  • провести процедуры самооценки с использованием разработанных ранее анкет;
  • провести интервьюирование ключевых сотрудников объекта аудита для уточнения результатов самооценки;
Таблица 3. Фрагмент анкеты для самооценки процесса «управление конфигурациями»

Критерии аудита

Самооценка

или да/нет

Положение о подразделении содержит указание на задачи, связанные с управлением конфигурациями

В должностные инструкции сотрудников, отвечающих за управление конфигурациями, включены соответствующие записи

Определен и адекватен охват CMDB (конфигурационной базы данных): серверы, ПЭВМ, СУБД, ПО, ЛВС

Определена и адекватна степень детализации атрибутов конфигурационной единицы (наименование, тип, место, владелец, инвентарный номер, статус, документация, лицензии и др.)

Регистрируются взаимоотношения (взаимосвязи) между конфигурационными единицами на физическом и логическом уровне

Применяется порядок регистрации базисной конфигурации

Определены и выполняются процедуры контроля над добавлением конфигурационной единицы

Определены инициирующие события и периодичность проведения аудита CMDB (проверки того, насколько точно отражена текущая ситуация в CMDB)

Применяются инструментальные средства аудита, которые могут автоматически выполнять анализ рабочих станций и формировать отчеты о текущей ситуации и статусе IT-инфраструктуры
  • провести верификацию результатов интервью и самооценки в рамках процедур наблюдения за деятельностью и детализированного тестирования предоставленных свидетельств (в том числе регламентов, положений, отчетов, записей о событиях и т.п.)

Заказчик определяет сотрудников, которые будут в рамках интервью по рассматриваемому IT-процессу давать официальную оценку (самооценку) степени соответствия фактического положения дел изложенным в анкете критериям. Аудитор проводит интервьюирование, в рамках которого анализируются и уточняются результаты самооценки. Анализируется перечень свидетельств, подтверждающих высокие результаты самооценки, в том числе оценивается фактическая готовность предоставить соответствующие свидетельства (табл. 4). Каждый вопрос анкеты может быть рассмотрен по следующим параметрам: компетенция персонала, фактическая деятельность, документирование, мониторинг и автоматизация. Оценка показателей осуществляется по пятибалльной шкале, распределенной, например, для показателя «деятельность» следующим образом:

  • 0 — деятельность не осуществляется и не признается необходимой;
  • 1 — деятельность не осуществляется, но признается необходимой;
  • 2 — деятельность осуществляется фрагментарно и имеет минимальный охват, подтвердить ее свидетельствами невозможно, вероятные отклонения выявить сложно;
  • 3 — деятельность осуществляется на периодической основе, однако имеет небольшой охват и может быть подтверждена свидетельствами только в отдельных случаях или посредством демонстрации в режиме «наблюдения за деятельностью»;
  • 4 — деятельность осуществляется на постоянной основе. Охват процесса находится на удовлетворительном уровне и запланирован к увеличению, в большинстве случаев имеются документальные свидетельства деятельности;
  • 5 — деятельность осуществляется на постоянной основе, имеет полный охват, имеются свидетельства в электронном и бумажном виде, которые пригодны как для внутреннего контроля, так и для аудита. При выставлении оценки необходимо учитывать адекватность документарных свидетельств (аудиторский след), на основании которых можно дать заключение по оцениваемой деятельности. К этой группе документов относятся, например, реестры и описи, регистрационные журналы, протоколы, листы ознакомления, акты и/или отчеты, свидетельствующие о выполнении работы (наряда).

Полученные ответы ранжируются по весовым характеристикам и результатам (баллам) самооценки. Далее происходит верификация анкет. Оценки с наибольшим весом и результатом самооценки проходят экзамен на соответствие в первую очередь. В любом случае данной процедуре должно быть подвергнуто не менее 50% свидетельств/ответов с высшим балом и не менее 30% остальных. Если выясняется, что самооценка завышена, аудитор проставляет свою оценку, которая затем и является основой для последующих расчетов. Верификация производится на основании наблюдения за деятельностью и условиями работы; запроса документов, записей (актов, протоколов) проверок, протоколов совещаний, отчетов (актов) по аудитам, итоговых данных, показателей анализа и результативности, отчетов; обращения к электронным базам данных и веб-сайтам. При необходимости аудитор оперативно формирует анкету детализированного тестирования для проведения аудиторских процедур по существу (выборочный анализ совокупности свидетельств аудита по отдельным вопросам для получения дополнительных гарантий результатов самооценки) На заключительном этапе аудита («III» на рис. 1) проводится анализ собранных свидетельств, формируются детальные оценки и итоговые выводы аудита. Международный стандарт CobiT характеризует данный этап как «творческий», так как перед аудитором стоит непростая задача провести многоступенчатое преобразование оценок от отдельных частных вопросов до формирования итоговых выкладок о состоянии системы IT-управления организации в целом.

Отсутствие инцидентов — сигнал об опасности

В качестве примера рекомендаций по проведению верификации по конкретному вопросу — «Реагирование на инциденты информационной безопасности» — может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает. Поэтому процедуры сообщения о случаях нарушения безопасности, инцидент-reporting процедуры, должны быть предусмотрены независимо от того, происходили ли в прошлом какие-либо инциденты или не происходили. Необходимо проверять, имеется ли в данной организации ясное определение понятия «случай нарушения безопасности (инцидент)», и понимают ли его сотрудники, занимающие ответственные должности. Полезно задавать проверочные вопросы, например: «Если вы обнаружили, что ваш сейф с секретными материалами стоит открытый, а вокруг никого нет, то сочтете ли вы это случаем нарушения безопасности?», «Если служащий сообщил о том, что ему по ошибке выдали чужую зарплату, можно ли это считать случаем нарушения безопасности?»

Ключевой задачей аудитора на данном этапе является обеспечение транспарентности механизма формирования итоговых выводов как основного условия доверия к результатам аудита. Все заинтересованные стороны должны иметь возможность отследить причинно-следственную связь в цепочке преобразования результатов аудита от частных к итоговым оценкам. Остановимся на наиболее специфичных этапах преобразования оценок.

Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса (табл. 5). Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Таблица 5. Формула расчета итоговой оценки уровня зрелости

L = L1 + L2 + L3 + L4 + L5

Уровень зрелости по разделу

Наименование

K — вес раздела (сумма баллов равняется 5)

R(Tn) — базовая оценка от 0 до 1 по итогам анкетирования и верификации (фактическая сумма оценок/максимально возможная сумма оценок)

L1 = K × R(T1)

Компетенция

L2 = K × R(T2)

Деятельность

L3 = K × R(T3) × R(T2)

Документирование

L4 = K × R(T4) × R(T2)

Измерение

L5 = K × R(T5) × R(T2)

Совершенствование

Расчет, представленный на рис. 2, позволяет построить тренд уровня зрелости IT-процесса.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности. Длительность постпроверочного периода (времени между аудитами) на практике в большинстве случаев составляет от года до трех лет и определяется с учетом законодательных и нормативных требований по периодичности, а также принципа разумной достаточности — исследуется период, который представляет наибольший интерес для целей формирования прогнозов на будущее.

Расчет уровня IT-рисков

Речь идет об уровне риска после его обработки, например после применения контрмер, направленных на его снижение. В рамках данной процедуры аудитор составляет ранжированный перечень выявленных рисков и сопоставляет базовый уровень риска с уровнем зрелости IT-процесса, отвечающего за управление данным параметром (табл. 6). Допустимым считается остаточный риск (S) 6 и менее. Умеренным — от 7 до 11. Высоким — от 12 до 16. Критическим — от 17 до 25.

Подводя итоги

Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент (рис. 3). Помимо стандартных рекомендаций по устранению выявленных в ходе аудита несоответствий (замечаний), результаты аудита могут быть использованы для разработки ключевых рекомендаций по тактике и стратегии совершенствования системы IT-управления в целом и отдельных IT-процессов, а также для формирования методической основы систем внутреннего контроля и аудита за информационными технологиями организации. Применение рассмотренной выше методики аудита позволяет компании взглянуть на свою систему IT-управления через призму международных стандартов и практического опыта и, как следствие, получить профессиональную экспертную оценку:

  • степени ее соответствия требованиям стандартов, что может быть использовано для определения готовности организации к прохождению сертификационного аудита;
  • ее адекватности целям эффективного формирования добавочной ценности для бизнеса при использовании информационных технологий;
  • ее устойчивости при реализации различных сценариев, например, если рассматривается расширение бизнеса, то оценивается готовность службы IT масштабировать свою деятельность, если речь идет о масштабном переходе на новые информационные системы, анализируется готовность обеспечить надежный переход на новые системы в оптимальный срок, для изменения объемов финансирования оценивается степень адаптивности к соответствующим условиям. На основании проведенной работы вырабатываются рекомендации по стратегии развития управления подразделениями IT, в том числе конкретных процессов управления, предотвращению рисков, совершенствованию работы IT-подразделений и формированию системы внутреннего контроля. Таким образом, IT-аудит закладывает основу для эффективной работы компании в сфере, имеющей первоочередное значение для уровня ее конкурентоспособности, намечает план мероприятий, который остается только воплотить в жизнь. Все остальное уже будет зависеть от самой компании, а точнее, от ее готовности четко следовать выработанным рекомендациям.
Таблица 6. Оценка остаточного уровня IT-риска

Уровень неотъемлемого риска от 0 до 5 (экспертная оценка)

Влияние уровня зрелости IT-процесса (в рамках которого управляется риск) от 0 до 5

Оценка остаточного риска

S = 5 × R1 - L 2

Риск увеличения времени от начала разработки до готовности систем из-за отсутствия гибкой инфраструктуры

Риск увеличения времени простоя инфраструктуры

Риск увеличения проблем, связанных с производительностью работы приложений и вызванных несоответствиями в технологической инфраструктуре

Риск нехватки мощностей при внедрении новых IT-решений

Риск повышения затрат на IT-инфраструктуру вследствие создания необоснованных резервов «про запас»

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

  • осуществляют оценку рисков ИТ;
  • содействуют предотвращению и смягчению сбоев ИС;
  • участвуют в управлении рисками ИТ;
  • помогают подготавливать нормативные документы;
  • помогают связать бизнес-риски и средства автоматизированного контроля;
  • осуществляют проведение периодических проверок;
  • содействуют ИТ-менеджерам в правильной организации управления ИТ;
  • осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.

Виды услуг по аудиту ИТ на российском рынке

На Российском рынке в настоящее время можно выделить 6 видов услуг по аудиту ИТ:

  • Обследование ИТ.
  • Экспертная оценка ИТ.
  • Технический аудит ИТ.
  • Аудит ИТ бизнес-процесса.
  • Аудит критерия ИТ.
  • Комплексный аудит ИТ.

Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация - сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

  • оценка ИТ-проектов или проектных решений;
  • оценка обоснованности инвестиций в ИТ;
  • оценка стоимости ИТ-составляющей компании;
  • оценка текущих ИТ-проектов;
  • оценка возможности перепрофилирования ИТ-инфраструктуры;
  • оценка организации эксплуатации ИТ;
  • оценка подготовки пользователей.

Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

  • определение ответственного за процесс;
  • определение пользователей и участников бизнес-процесса;
  • выявление применяемого оборудования и программ;
  • оценка действий обслуживающего персонала и пользователей;
  • анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Стандарты ИТ-аудита

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.

Основные этапы проведения аудита

В обобщенном виде ИТ-аудит проводится в два этапа:

  • этап "Планирование ИТ-аудита".
  • этап "Проведение ИТ-аудита".

На этапе "Планирования ИТ-аудита":

  • Анализируются:
    • структура бизнес-процессов;
    • платформы и структура информационных систем, поддерживающих бизнес-процессы;
    • структура ролей и распределения ответственности, включая аутсорсинг;
    • бизнес-риски и бизнес-стратегия.
  • Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
  • Идентифицируются ИТ-риски.
  • Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
  • На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:

  • Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
  • Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
  • Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
  • Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

Результаты проведения ИТ-аудита

Результаты ИТ-аудита компании классифицируются на три группы:

  • Организационные – планирование, управление, документооборот функционирования ИС.
  • Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д
  • Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие документы:

  • Основные документы:
  • Отчет о результатах ИТ-аудита компании.
  • Отчет о результатах аудита информационной безопасности компании.
  • Дополнительные документы (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):
  • Долгосрочный план развития ИТ/ИС;
  • Краткосрочный план развития ИТ/ИС;
  • Отчет о текущем состоянии ИТ/ИС.
  • Техническое задание на изменение ИТ/ИС
  • Методология работы и настройки (доводки) ИТ/ИС компании.
  • Концепция построения политики безопасности ИТ/ИС компании.
  • Политика безопасности ИТ/ИС компании.
  • План восстановления ИТ/ИС в чрезвычайной ситуации.
  • Порядок действий в случае нарушения защиты информации.
  • План-график проведения последующих ИТ-аудитов.

Результатные документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

  1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
  2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
  3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
  4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

  1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
  2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
  3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
  4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
  5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

  • Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

  • Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
  • Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
  • Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
  • Приложения — прикладное программное обеспечение, используемое в работе предприятия;
  • Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
  • Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

  • проверка и анализ собранных данных
  • подготовка эксплуатационной документации
  • выработка рекомендаций
  • подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.