ИТ-аудит за пять шагов: с какими барьерами сталкивается бизнес

18.02.2021

В России широко распространен финансовый аудит. Компании знают, зачем это нужно, и нередко прибегают к нему. В последние годы набирает популярность еще один вид — ИТ-аудит. Зачем и как его проводить, рассказывает Илья Винокуров («ЛАНИТ-Интеграция»)


Что будем проверять

В первую очередь надо понять, для чего вам нужен аудит и чего ожидать от проведения.

В охват аудита могут попасть: ИТ-инфраструктура, бюджет ИТ в целом или проекты создания информационных систем и т.д. Аудит поможет оценить их с точки зрения уровня цифровой готовности (также называемой зрелостью) компании, соответствия требованиям регуляторов и уровня обеспечения устойчивости бизнес-процессов.

Например, для организации, заинтересованной в оценке функциональных возможностей своей аналитической информационной системы, вряд ли будет ценно нагрузочное тестирование системы телефонии. Однако области ИТ так сильно связаны между собой, что при обследовании той же аналитической системы станет уместна и оценка производительности систем хранения данных, выделенных для ее работы.

Как успешно пройти аудит: пять этапов

Вне зависимости от типа аудит лучше планировать и проводить в соответствии с лучшими практиками и стандартами. Например, применять подход ITAF, разработанный международной организацией аудита информационных систем ISACA. Согласно ему, проект аудита делится на пять этапов:

Этап № 1. Управление рисками

Прежде чем начинать планирование аудита, обе стороны — и исполнитель, и заказчик — должны оценить риски проекта. Стоит помнить, что результатом такой оценки в любом проекте может стать отказ от его реализации.

Например, топ-менеджменту компании иногда важнее сохранить некие неформальные договоренности, чем получить результаты формализованной проверки в этой области. О таких ситуациях всегда лучше подумать заранее, иначе отчет об аудите будет содержать формальную оценку ситуации, тогда как для бизнеса важно поддерживать статус-кво.

В нашей практике был подобный случай: компоненты бизнес-сервиса одной компании были расположены на серверах другой, принадлежащей тому же владельцу, но формально не входящей в группу. В таком случае в отчет об аудите вносятся замечания, что работа критически важной бизнес-системы зависит от лиц, неподконтрольных компании, а уровню зрелости процессов обеспечения непрерывности этого бизнеса дается низкая оценка. Возникает противоречие: с точки зрения владельца, это разумная экономия, ведь зачем два раза платить за серверное оборудование? Но для любого внешнего стейкхолдера такая организация бизнес-критичной инфраструктуры — это совокупность рисков, связанных с приостановкой деятельности бизнеса или утечкой информации.

Проекту аудита, как и любому другому, нужна постоянная поддержка руководства. В противном случае существует риск, что передача информации будет задерживаться, регламенты взаимодействия нарушаться, а полученные результаты не соответствовать ожиданиям.

В мировой практике есть случаи при слиянии и поглощении компаний, когда проблемы интеграции ИТ-систем приводили к финансовым потерям. Например — слияние банка Fleet Boston из Массачусетса и Bank of America в 2003 году. Клиенты объединенного банка столкнулись с задержками перевода средств между отделениями в разных штатах, а также с проблемой снятия наличных в банкоматах. Срок выполнения стандартных банковских операций увеличился, уровень удовлетворенности работой банка упал. Процесс поглощения, запущенный в 2003 году, завершился только к апрелю 2004-го — за это время произошел отток клиентов в региональные банки, и все это отразилось на биржевой стоимости акций. Подобное слияние стало столь болезненным из-за разных подходов ИТ-служб двух банков к интеграции основных банковских систем. Такой ситуации можно было бы избежать, проведя качественный ИТ-аудит, в ходе которого стало бы ясно, что системы развивались в соответствии с разными подходами, а конфликт команд был неизбежен и что в конечном счете это отразится не только на внутренних процессах, но и в первую очередь на клиентах.

Сейчас большинство игроков понимают: если в ходе проверки должной добросовестности ИТ (IT Due Diligence) будет выявлен риск, связанный с техническим развитием или оснащением поглощаемой компании, в «дорожной карте» сделают акцент на изменениях, связанных со снижением данного риска. Чтобы избежать ошибок при реализации этих изменений в процессе слияния/поглощения, стратегически верным будет обратиться за консультативным и техническим сопровождением к внешнему аудитору.

А еще нужно быть готовым, что аудит может вскрыть неожиданные изъяны в корпоративной культуре или бизнес-процессах организации. Но это уже не риск, а возможность для развития.

Этап № 2. Планирование аудита

Составьте план действий, назначьте ответственных за аудит из числа руководства. Закрепите план действий на совещаниях и в договоре, чтобы точно понимать результаты аудита. Зафиксируйте в нем:

  • функциональный и организационный объем проекта;
  • масштаб проводимых работ;
  • участников и ответственных с каждой стороны;
  • срок завершения работ;
  • формат предоставления результатов.

Для распределенных компаний важно ограничить географию проведения аудита: не всегда существует реальная необходимость посещать подразделения, расположенные в нескольких регионах в разных часовых поясах.

В нашей практике такой формат присутствия потребовался на объектах одной российской добывающей компании для технического обследования оборудования систем связи. Объекты находились в удалении от городов и друг от друга, на каждом была развернута локальная система связи. Чтобы провести технический аудит, команде специалистов пришлось выезжать на все объекты.

Можно включить в охват аудита основные бизнес-процессы или выделить только те, чье исполнение напрямую зависит от ИТ-службы. Здесь начинаются сложности четкого разграничения. Примером могут послужить call-центры с разным уровнем цифровизации.

Допустим, в call-центре есть интерактивное голосовое меню — IVR, а общение с клиентом в основном выполняет оператор. В этом случае от ИТ-службы зависят только доступность телефонного номера и работа средств отчетности и аналитики. Но существуют call-центры, где виртуальный помощник связывает звонящего с оператором, только если не может дать ответ самостоятельно. Тогда ответственные бизнес-подразделения становятся скорее методологами развития ИТ-услуги. Аудит таких разных call-центров нужно проводить с акцентированием на разных аспектах.

Этап № 3. Сбор и обработка информации

Сначала разработайте или согласуйте предлагаемые механизмы сбора и обработки информации. Это могут быть очные встречи, видеоконференции, анкетирование. Информацию анализируют и структурируют таким образом, чтобы в отчете об аудите было представлено наиболее полное и емкое отражение факторов, влияющих на ведение бизнеса.

Определите круг лиц для проведения очного или удаленного интервью — это позволит собрать слабоструктурированную, но детальную информацию в процессе беседы.

Выберите подразделения для проведения анкетного опроса: эти данные будут хорошо структурированы и подойдут для формирования статистики.

Этап № 4. Выработка рекомендаций

Вполне естественно, что для многих заказчиков важнее всего получить видение необходимости изменений и путей их реализации. Например, в ходе аудита низкую оценку получил уровень зрелости процессов обеспечения непрерывности бизнеса. Benchmark-анализ показал, что у успешных компаний из той же индустрии оценка зрелости этой группы процессов значительно выше.

В таком случае аудиторы порекомендуют повысить уровень зрелости и посоветуют, например, внедрить процедуры мониторинга и контроля. В разных случаях они могут составить либо верхнеуровневое описание целей на будущее, либо детальный план реализации изменений.

Этап № 5. Подготовка отчета

Основным результатом аудита принято считать документ отчета, который содержит:

  • сводку о текущем состоянии обследуемой области бизнеса,
  • оценку этого состояния с разных точек зрения,
  • рекомендации по дальнейшим действиям.

Как правило, отчет предоставляется в виде подробного текста о проведенном обследовании. Он включает как данные, собранные в ходе аудита, и их аналитику, так и обоснование выбранных методов и объектов обследования. Отчет также может дополняться презентацией с графическим представлением материалов для руководства.

В теории материал отчета не должен редактироваться по запросу заказчика, но в реальности может проходить корректировку. Например — если заказчиком выступает один из руководителей компании, а реальным потребителем итогового отчета становится совет директоров. Тогда форма отчета может меняться: с текстового документа на презентацию и т.п. Основной акцент может быть смещен на конкретные области деятельности компании.

Из неожиданного

Как правило, после согласования объема работ и заключения договора аудит проходит согласно плану. Однако в ходе проекта возможны изменения исходной парадигмы. В нашей практике был случай, когда крупное российское интернет-агентство обратилось за аудитом ИТ-функции и ее затрат, а получило от аудиторов понимание, что затраты на ИТ — это вложение в развитие компании, а предоставление цифровых сервисов для клиентов и есть ее бизнес.

Кому именно нужен ИТ-аудит

Заказчиками ИТ-аудита могут выступать разные лица — от топ-менеджмента или ИТ-директора до руководителей функциональных направлений. Например, ИТ-директору может потребоваться заключение независимой экспертизы для обоснования бюджета перед советом директоров. Подобное обследование было проведено в крупной российской производственной компании. По его итогам руководство утвердило объемы фонда оплаты труда, требуемые для расширения ИТ-штата, и план капитальных затрат на модернизацию ландшафта информационных систем.

Другой пример: банку требуется определить уровень осведомленности персонала об актуальных методах социальной инженерии и выяснить реакцию на типичные атаки, чтобы пересмотреть используемые методы предотвращения утечек данных. Такой аудит может также дополняться техническим обследованием для выявления уязвимостей в ИТ-инфраструктуре, чтобы снизить совокупное влияние рисков в области информационной безопасности.

Делаем сами или зовем подрядчика

Для одних организаций важно подтвердить соответствие требованиям разных институтов к конкретным областям ИТ — комплаенс-аудит. Не все успели забыть, как Роскомнадзор начал контролировать процедуры обработки персональных данных на соответствие требованиям 152-ФЗ. А для многих государственных предприятий и организаций особенно актуально соответствовать требованиям ФСТЭК к защите объектов критической информационной инфраструктуры, закрепленных в 187-ФЗ. Для некоторых организаций главной ценностью может стать обнаружение уязвимостей в системе защиты информации. Другим важно убедиться, что они не тратят на ИТ слишком много или, наоборот, отстают в этом направлении от конкурентов из-за малого ИТ-бюджета.

Одни и те же виды ИТ-аудита проводятся внешним аудитором или силами самой организации. Для каждого проекта аудита это определяется наличием необходимости в независимой оценке, компетенций и свободных ресурсов.

Автор: Илья Винокуров
Источник: РБК Pro,18.02.2021

Другие статьи по теме

Чек-лист: Что такое гибридное облако и почему оно полезно бизнесу Современный бизнес всё больше уходит в облако, чему особенно поспособствовала ситуация с пандемией COVID-19, из-за которой во многих предприятиях значительная часть сотрудников была переведена на удалённую работу и по разным причинам не могла получать полноценный доступ к локальной ИТ-инфраструктуре. Однако далеко не все организации готовы полностью перейти в общедоступное облако, в частности, по соображениям безопасности и надёжности, а также в связи с требованиями регуляторов. При этом многие желали бы пользоваться преимуществами гибкости и масштабируемости, предлагаемыми облачными сервисами. В таких случаях оптимальным решением может стать гибридное облако, объединяющее частное и общедоступное облака в единую инфраструктуру. В каких кейсах имеет смысл выбрать гибридное облако и какие решения лучше использовать, нам помогал разобраться Олег Головко, первый заместитель управляющего директора компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ). Олег Головко TAdviser, 19.04.2021