Основные типы аудиторских проверок, которым подвергаются организации, включают в себя финансовые, операционные, сертификационные аспекты, анализ соответствия и качества и, как правило, включают в себя аудит информационных технологий. Исследования, проводимые в контексте более широких программ, имеют бизнес-ориентированные цели и области внимания, чем отдельные обследования корпоративных ИТ. Организациям предлагаются четко сформулированные преимущества и ожидаемые результаты. Обследование ИТ лучше проводить в рамках более широкого аудита, не ограничиваться только проблемами ИТ или ИТ-средствами поддержки других организационных процессов или функций.
Следует разделить внутренний и внешний аудит. Мы не будем рассматривать внутренний аудит, проводимый аудиторами, которые являются сотрудниками проверяемой организации. Внешний аудит по определению проводится специалистами, полностью отделенными от проверяемой организации. Поскольку организациям часто приходится выбирать внешних аудиторов, требования к регистрации и ключевые квалификации приобретают огромное значение. Крупные компании предпочитают комплексный аудит от именитых игроков этого рынка. Для комплексного аудита описываются такие характеристики, как обоснование аудита, области внимания, пригодность для внутренних и внешних подходов к аудиту, применимые стандарты и руководства, а также ожидаемые результаты. Несмотря на предпочтение комплексного бизнес-ориентированного аудита, в нашей стране популярно отдельное обследование корпоративных ИТ.
Цели ИТ-аудита
Бизнес-заказчику крайне важно понимать не только формальную цель проверки корпоративных ИТ, оборудования, сервисов и процессов, но и ответить на вопросы – «Что это даст?», «Что дальше?», «Какие конкретно изменения или результаты я хочу получить?» Это помогает акцентировать внимание и цели аудита в нужную область, снижая ненужные этапы и формальные процедуры.
Примерами можно считать следующие цели аудита:
проверка работы и настройки серверного и сетевого оборудования
независимый аудит своего ИТ-отдела
аудит перед миграцией инфраструктуры в облако
повышение производительности 1С, анализ кода
сокращение расходов на ИТ, оптимизация бюджета
аудит лицензионной политики ПО
модернизация ИТ, объективная оценка проекта
проверка информационной безопасности, защиты данных, политики управления правами доступа.
Также следует указать ключевые типы внешних и внутренних факторов, влияющих на подходы организаций к ИТ-аудиту, включая основные законодательные и нормативные требования, а также такие мотивирующие факторы, такие как сертификация, обеспечение качества и операционная эффективность. Почти все внешние аудиторы следуют одному или нескольким из этих подходов, и многие организации предпочитают не разрабатывать собственные, а применять установленные методологии и дорожные карты, предназначенные как непосредственно для аудита, так и для управления ИТ, информационной безопасности и оценки качества внутреннего контроля.
Техническое задание на ИТ-аудит
Отдельное обследование ИТ внешними аудиторами сопряжено с двумя проблемами: выбором аудитора и формированием технического задания (ТЗ) на аудит ИТ. Во избежание проблем с последующей сдачей-приемкой работ, следует зафиксировать ожидания заказчика и требования к его действиям во время внешнего аудита.
В преамбуле ТЗ также объясняется мотивация, обеспечиваемая разработанными внутри компании стратегиями, целями управления и инициативами в отношении того, как организация структурирует свои программы внутреннего и внешнего аудита.
Аудит ИТ в отрыве от задач бизнеса не упрощает, а осложняет формулировку задания аудиторам. Следует определить, что необходимо исследовать, качество управления, операционной эффективности или любых других ключевых функций, которыми организации реализуют с помощью своих ИТ-ресурсов. Связанные с ИТ средства контроля разбиты на различные категории, обычно используемые в методологиях и стандартах ИТ-аудита, чтобы различать действия, ориентированные на различные компоненты ИТ. В ТЗ на ИТ-аудит должны быть определены технические и нетехнические категории, описаны различные архитектурные уровни, ключевые процессы и функции, а также аспекты программ и проектов ИТ, которые подвергаются аудиту.
Основное внимание должно быть уделено процессу планирования аудита, сбора и анализа аудиторских доказательств, анализа и составления отчетов о выводах, а также реагирования на выводы путем принятия корректирующих мер или использования возможностей для улучшения.
Договор на ИТ-аудит
Описание процесса ИТ-аудита объясняет шаги, которым следуют организации и аудиторы при проведении аудита. Хотя не существует единого общепринятого процесса, применимого во всех контекстах, но большинство методологий, стандартов и авторитетных руководств по аудиту имеют много общих действий и параметров этого процесса. Определяются ключевые причины выбора внешнего аудита (требования регуляторов, маркетинг, поиск аргументов для смещения ИТ-директора и проч.). В договоре обязательно должны быть пункты, обязывающие заказчика, в частности, провести подготовку собственного персонала. Вопреки принятой практике Календарный план выполнения работ рекомендуется дополнять пунктами, выполняемыми заказчиком, например, Заказчик обеспечивает доступ к инфраструктуре в таком-то режиме, назначает ответственное контактное лицо и проч. Такие пункты кажутся излишними, само собой разумеющимися, однако в случаях, когда у заказчика что-то пошло не так, и ему не до аудита, наличие этих формальных пунктов позволят избежать неприятностей. Вообще в любом договоре на услуги включать в Календарный план пункты, возложенные на Заказчика, позволяет избежать недоразумений и дополнительных расходов связанных с проведением работ.
Результаты ИТ-аудита
Отдельный акцент следует сделать на оформлении результатов аудита.
Например:
Аудиторское заключение по текущему состоянию ИТ-инфраструктуры с рекомендациями по оптимизации используемого оборудования, модернизации парка компьютерной техники, лицензированию ПО.
Консультации по сокращению ИТ-расходов и оптимизации бюджета. Выявление излишних серверных мощностей или их нехватки, рекомендации по сокращению затрат.
План развития и модернизации ИТ-инфраструктуры, спецификации серверов и рабочих станций, ПО.
Практические рекомендации по увеличению производительности работы программ 1С:Предприятие. Анализ кода, описание нетипового функционала.
План по автоматизации бизнес-процессов. Детальное описание существующих бизнес-процессов.
Регламенты по управлению правами доступа.
Подробный план миграции ИТ-инфраструктуры и данных в облако.
Разработанные планы резервного копирования и восстановления данных.
Аудиторское заключение о квалификации сотрудников ИТ-отдела. Рекомендации по требуемым кадровым ресурсам.
Зачастую после проведения внешнего обследования ИТ-контура организации высшее руководство понимает необходимость непосредственного подчинения директора по ИТ первому лицу – как следствие, деятельность ИТ-подразделения не только становится более прозрачной, но и возникает ряд инновационных решений, внедрение которых напрямую сказывается на бизнес-показателях компании.