ИТ аудит - как это бывает

Информационные технологии в компаниях разной направленности имеют очевидные преимущества и приносят немалую пользу. Но если компании используют такие технологии неправильно, то появляется вероятность возникновения специфических рисков для деятельности таких организаций. При этом у компании не только снижается эффект от внедрений новейших информационных технологий, но и сводятся к нулю результаты работы, появляется угроза значительных убытков деятельности компании. Информационный аудит позволяет выявить все аспекты, которые касаются рисков, оценить уровень эффективности ИТ системы и подобрать направление для совершенствования данной сферы.

Обычно для рисков информационных технологий используют несколько понятий. В большинстве случаев подразумевается возникновение разнообразных негативных событий, которые угрожают безопасности всей системы. Это могут быть вирусы, хакерская атака, хищение данных, что создает угрозу для нормальной деятельности внутренней сети и всего бизнес процесса. Но в последнее время для такого определения существует развернутая трактовка. В соответствии с этой трактовкой появление рисков может повлечь за собой снижение эффективности деятельности всей организации.

Возникновение рисков может быть и на этапе внедрения информационных технологий в системы компании, и на этапе действующей работы технологий. При разработке, проектировании, эксплуатации информационных систем наличие рисков определяется такими факторами:

• выбор нерационального решения для оптимизации;
• ошибки в процессе проектирования;
• нарушение сроков расчета и бюджета, заложенного для проектирования;
• при несоответствии инфраструктуры и проектов автоматизации;
• ошибки в организации и технические проблемы при установке системы.

В процессе работы информационных систем факторами рисков недостижения целей можно назвать:

• отсутствие эффективности при взаимодействии таких сфер, как бизнес и ИТ направление;
• неиспользование потенциала установленных технологий;
• невозможность обеспечить развитие информационных технологий;
• ошибки при первоначальных расчетах, которые указали на нагрузки всей инфраструктуры организации и персонала.

Во избежание подобных рисков компании создают комплексные системы, внедряющие риск-менеджмент, контроль и аудит, как на основе всей деятельности, так и в том направлении, как поддержка информационных технологий. Зрелость структуры определяется тем, насколько она способна обеспечить применение информационных технологий для тех целей, которые входят в ключевую деятельность организации. В ходе формирования ИТ-системы необходимо ориентироваться на существующие международные стандарты.

IT-процессы как ключевой объект аудита

Общепризнанными мировыми стандартами управления и аудита, которые относятся к области информационных технологий, является оценка ИТ-системы как совокупности многоступенчатых ИТ процессов, подробных контролирующих целей и стандартных процедур деятельности, в соответствии с которыми определяется минимизация рисков. Оценка такого вида деятельности проводится по типичным элементам управления и специфичным для каждого отдельного процесса, в том числе:

1. Распределение ответственности по всей иерархии управления, а также обеспечения соответствующего взаимодействия.
2. Наличие и эффективность применения всех механизмов, которые поддерживают компетентность персонала на должном уровне.
3. Актуализация всей процессной документации.
4. Наличие и комплексность механизмов, позволяющих измерять производительность и формирование отчетности внутри компании для каждого отдельного процесса. В свою очередь, это дает возможность руководству ИТ службы дать оценку степени достижения целей. Соответственно, это дает возможность формировать наиболее эффективные решения в управлении.
5. Наличие процедур, которые позволяют активно мониторить текущую деятельность, и при этом дают возможность своевременно обнаружить операционные сбои. Например, при невыполнении сотрудниками организации штатных процедур.
6. Наличие процедур информационного обмена, которые проводятся между похожими ИТ процессами.
7. Методы и специальные инструменты, способствующие повышению эффективности деятельности. Например, если использовались средства автоматизации для учета, а также регистрации обращения пользователей;
8. Совершенствование направления, в основе которого лежит анализ имеющейся эффективности, а также планы развития информационных технологий.

Расчет уровня зрелости IT-процесса

Такой расчет может быть проведен, например, с помощью специальной методологии CobiT, в которой определяются основные свойства зрелости процесса. Аудитор группирует вопросы по всем свойствам процесса. Это компетенция, документирование, измерение, а также фактическая деятельность и совершенствование. При этом рассчитывается оценка для каждой отдельной группы. Лучше учитывать характеристики всех вопросов и внутри каждой из групп, и характеристики самих групп. Определение точных значений определяется путем экспертной оценки и формируется на основе пожеланий заказчика аудита.

При составлении отрицательного вектора обязательно учитывается уровень документирования. И чем ниже этот уровень, тем больше вероятность не достигнуть основных целей в ИТ системе при потере основного персонала или же при изменении вектора деятельности. Между проверками может пройти разное количество времени. Но в основном это 1-3 года, которые определяются нормами законодательства и целесообразностью частоты периодичности для определения целей развития на будущее.

Расчет уровня ИТ-рисков

Здесь важно понимать то, что рассчитывается уровень рисков после того, как была проведена обработка. Например, в случае применения контрмер, если они направлены на снижение рисков. В ходе такой процедуры аудитор формирует определенный перечень, в котором указываются все факты выявленных рисков, при этом составляется базовый уровень рисков с установленной степенью зрелости ИТ процесса, благодаря которому формируется метод управления такими параметрами. Допустимые степени рисков – до 6, умеренные – 7-11, высокие – 12-16, критические – 17-25.

Коммуникационный аудит: мода или необходимость?

В последнее время многие специалисты в сфере аудита активно используют такое понятие как информационный аудит, который еще называют коммерческим. В различных компаниях он выделяется в отдельную линейку со своим набором продуктов, а некоторые агентства целенаправленно специализируются на данном виде деятельности. Естественно, такое направление привлекает многих заказчиков.

Следует отметить, что задача коммуникационного аудита заключается в том, чтобы провести комплексную оценку информационной политики компании за определенный период времени. У коммуникационного аудита есть несколько основных функций.

Оценочная. С помощью этой функции оценивается публичный престиж компании и ее информационная активность.

Стратегическая. Такая функция дает возможность разработать стратегию для оценки качества конкурентоспособности предприятия. Корректируются все моменты для качественного управления деловой репутацией и для брендирования товаров.

Информационная. Руководство и топ-менеджеры получают информацию о ситуации в компании на текущий момент.

Прогнозная. Составляются краткосрочные и долгосрочные прогноз по развитию компании, а также принимаются меры для предупреждения кризисных явлений в области управления.

Основной целью такого аудита является оценка, которая позволяет понять коммуникационную активность компании для принятия дальнейших управленческих решений. В будущем такие решения формировали, сохраняли и оптимизировали позитивный имидж организации.