ИТ-аудит – угроза или спасение? Елена Кутукова, Денис Зельтинг
ИТ-аудит — понятие в России относительно новое, поэтому трактуют его по-разному. Известно, что в ведущих мировых странах под аудитом подразумевается ежегодный процесс, подтверждающий соответствие компании заявленным бизнес-показателям и регулирующим стандартам, например SARBOX. По аналогии у многих руководителей российских предприятий представление об ИТ-аудите отождествляется с финансовым аудитом в области ИТ и в какой-то мере с ИТ-консалтингом. В то же время, ИТ-аудит (или аналитическое обследование) нередко используется для других целей, как первый шаг при «наведении порядка» в сфере ИТ: для разработки ИТ-стратегии, управления стоимостью обслуживания и владения информационными системами, при проведении анализа рисков, при создании конфигурационной базы данных ИТ-ресурсов и разработке процедур контроля изменений.
В специализированной прессе нередко приводится следующее определение: «Процедура аудита (обследования) сферы информационных технологий в компании предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии в сфере ИТ, о рисках, связанных с «проблемными зонами» информационных подсистем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем».
Целями проведения ИТ-аудита могут, в частности, выступать:
анализ используемых ИТ-решений на соответствие требованиям бизнеса компании; организация информационной системы, адекватной задачам бизнеса;
оценка информационной системы предприятия на функциональную полноту и соответствие международным стандартам; оценка системы по нефункциональным критериям;
анализ процессов разработки и внедрения информационных систем; процессов сопровождения и технической поддержки;
оценка совокупной стоимости владения и возврата инвестиций в ИТ;
анализ проблем в информационной системе и предложенных решений.
ИТ-аудит может являться первым этапом при решении задач оптимизации затрат и снижения рисков ИТ-проектов, при проведении аудита системы информационной безопасности и др.
Почему и когда возникает необходимость в проведении ИТ-аудита?
В большинстве случаев проведение ИТ-аудита связано с модернизацией предприятия, расширением бизнеса за счет слияния или поглощения, а также в связи со сменой управленческих кадров. Заказчиком ИТ-аудита, в подавляющем большинстве случаев, является руководство компании или ее функциональных подразделений.
Причины, обусловливающие необходимость такого аудита периодически рассматриваются в прессе при обсуждении проблем и задач ИТ-подразделений. Однако для большинства бизнес-руководителей российских предприятий ИТ — это по-прежнему остается непонятным по функциям, непрозрачным «черным ящиком». Для его функционирования требуются деньги (и немалые), а в результате бизнес получает некую, не всегда очевидную для руководства, ИТ-поддержку. В такой ситуации руководители желают услышать ответ на вопрос: что надо сделать, чтобы класть в этот «черный ящик» меньше денег, получая при этом более высокую отдачу?
Некоторые руководители пытаются, хотя бы в общих чертах, понять внутреннее устройство этого «ящика» и выяснить, насколько велик его КПД. Но, как бы ни был поставлен вопрос, суть его сводится к одному: как снизить затраты и риски и увеличить отдачу.
Наиболее сложной целью ИТ-аудита является решение задачи реструктуризации инвестиций в ИТ: руководителю надо понять, насколько правильно вкладываются средства в различные направления ИТ и можно ли их перераспределять (например, увеличить расходы на развитие информационных систем, сократив затраты на поддержку).
Аудитор – угроза или спасение?
Довольно редко проведение ИТ-аудита является инициативой руководителя ИТ-службы. Обычно это происходит в случае возникновения явного конфликта руководителя ИТ-службы и руководства компании: руководитель ИТ-службы долго и безуспешно пытается доказать, что если должным образом не инвестировать ИТ, то вскоре это станет преградой для развития бизнеса. Реакция руководства компании категорична: «Вам сколько денег ни дай, все мало». Поэтому руководителем ИТ-службы может быть инициирован внешний ИТ-аудит, в процессе которого аудиторы становятся арбитрами в затянувшемся споре.
В большинстве случаев сотрудники ИТ-служб относятся к процедуре аудита крайне настороженно. Для того чтобы превратить их в союзников аудиторов, требуются немалые усилия руководства компании. Сотрудник ИТ-службы, как и любой нормальный человек, настороженно относится к проверке своей работы и не любит, когда ему указывают на его ошибки, даже если он сам о них знает.
Почему сотрудники компаний боятся аудита и насколько оправданы их опасения? Очевидно, что природа страхов руководителей и рядовых сотрудников ИТ-служб в корне различна. Руководство, как правило, опасается, что информация о возможных проблемах в их подразделении станет доступна посторонним. Еще одним опасением (и часто не без основания) является неуверенность в том, что аудит принесет какие-либо реальные плоды. Для рядовых же сотрудников ИТ-служб аудит часто представляется неким кнутом, которое руководство собирается использовать для наказания ни в чем не повинных работников. При таком отношении к аудиту сотрудники будут всячески мешать его проведению, скрывая реальную информацию или предоставляя ее в виде, который считают наиболее выгодным для себя.
Вообще говоря, все эти опасения, конечно, имеют под собой реальную почву. Однако при правильном подходе к проведению аудита, как со стороны обследуемой компании, так и со стороны аудиторов, эти опасения могут быть либо полностью сняты, либо сведены к минимуму.
Начнем с опасений руководства (во-первых, для соблюдения субординации, а во-вторых, потому что, как мы уже говорили выше, именно руководство является инициатором и основным заказчиком аудита). Аудит крупной компании – удовольствие довольно дорогое. Чтобы он принес реальную выгоду компании, необходимо ясное понимание задач, которые планируется решить с помощью ИТ-аудита. Если задача ставится так: “Хочу, чтобы у нас все было лучше всех”, то от аудита трудно ожидать чего-то большего, чем выдача общих рекомендаций на основе “лучшего мирового опыта”. Вряд ли такие рекомендации смогут быть реализованы в реальных условиях.
Как показывает практика, целесообразно разбивать процесс аудита на этапы длительностью порядка 10 дней – в этом случае задачи могут быть сформулированы более конкретно, и польза от аудита будет ощутимее. При этом на начальном этапе всегда лучше сделать первичное обследование, которое поможет в общих чертах оценить текущее состояние дел в сфере ИТ, определить основные проблемы и расставить приоритеты их решения. На последующих этапах уже можно будет заняться более подробным анализом выявленных проблем и выработкой конкретных предложений по их устранению. При таком подходе заказчик ИТ-аудита получает возможность выбора для каждого этапа работ аудитора, обладающего наибольшим опытом в решении конкретного типа проблем. А чтобы обезопасить внутреннюю информацию от возможных утечек при проведении аудита, достаточно внимательно отнестись к выбору организации, проводящей аудит. Любая организация на рынке ИТ-услуг, много лет подряд занимающаяся вопросами аудита, сама крайне заинтересована в недопущении таких утечек. В противном случае ее репутация может быть безвозвратно испорчена.
В наиболее сложных случаях приходится все-таки отказываться от внешнего аудита в пользу проведения его сотрудниками самой компании. При этом важно, чтобы внутренние аудиторы не находились в подчинении у руководителей функциональных подразделений компании. Однако создание внутреннего аудиторского подразделения могут себе позволить только очень крупные компании, так как для этого необходимо содержать довольно большой штат высококвалифицированных специалистов со специализацией в разных областях ИТ.
Сопротивление рядовых сотрудников ИТ-служб проведению ИТ-аудита обычно связано с двумя типами проблем: ростом компании и проблемами, возникающими при слиянии компаний. При росте компании рано или поздно возникает момент, когда ИТ-служба не может больше функционировать по-старому. В небольших компаниях работа часто строится на личных связях между сотрудниками, а в крупной компании такой метод принципиально не применим. Без достаточной формализации процесса взаимодействия между подразделениями невозможно оперативно решать возникающие задачи. Кроме того, в небольших компаниях методы решения задач выбираются, исходя из знаний и умений сотрудников, и эти методы не всегда оптимальны. Большие же компании, наоборот, подбирают сотрудников в соответствии с их умением эффективно решать задачи принятыми на предприятии методами.
Еще одна проблема связана с тем, что при постепенном росте компании всегда остается значительное количество исторически используемых приложений, и нередко трудно найти замену сотрудникам, занимающимся их эксплуатацией, или даже обеспечить этих специалистов полной рабочей загрузкой. В данном случае задачей аудита является определение возможности отказа от унаследованных приложений и разработка плана мероприятий по их замене на более современные.
Проблемой роста является также использование подразделениями компании различного инструментария для решения схожих задач, либо повторное приобретение уже имеющихся в компании продуктов. В этом случае аудиторы должны провести инвентаризацию оборудования и программного обеспечения и выдать предложения по их унификации. Конечно, унификация используемого оборудования и ПО приводит к более легкой «заменяемости» сотрудников, что многим из них может не понравиться. Сотрудники, обладавшие неким «сокровенным знанием» теряют возможность практически бесконтрольной и безотчетной работы. С другой стороны, они при этом приобретают новые знания, а умение применять современные и широко распространенные технологии делает специалиста гораздо более привлекательными участником рынка труда. Да и решение многих проблем можно переложить на службу поддержки производителя ИТ-продукта.
Когда проведение ИТ-аудита - благо для ИТ-службы?
В начале статьи мы уже отмечали, что аудит нередко является первым шагом при наведении порядка во многих областях. Рассмотрим для примера одну из таких областей - управление ИТ-услугами.
Как правило, проект создания системы управления ИТ-услугами состоит из двух крупных этапов, первый из которых вносит самый большой вклад в успех всего проекта. Это этап концептуального, логического проектирования бизнес-процессов управления ИТ-услугами и разработки структуры конфигурационной базы данных.
Для того чтобы успешно выполнить эту работу, необходимо провести детализированное аналитическое обследование системной архитектуры с учетом результатов анализа рисков. Или, если таковой ранее не проводился, учитывать при аудите критичность отдельных элементов ИТ-архитектуры для бизнеса компании.
Вторая, не менее важная задача обследования, - анализ текущего состояния организации ИТ-службы и ее бизнес-процессов (так называемый анализ зрелости ИТ-подразделения).
В сам процесс такого обследования активно включены сотрудники ИТ-подразделения компании, а результаты обязательно широко обсуждаются и принимаются как заказчиками, так и исполнителями проекта. Почему это так важно?
Во-первых, результаты обследования системной архитектуры представляют собой основу для разработки модели данных CMDB, и чем точнее мы это сделаем, тем более практически значимой будет конфигурационная база данных, которая является основой для интеграции всех ИТ-процессов.
А оценка уровня зрелости – это основа реалистических планов модернизации и внедрения best practice в управление ИТ-ресурсами.
Еще один пример, из смежной области, - управление ИТ-активами. Для большинства компаний решение этой задачи определяется необходимостью получения стоимостной оценки ИТ-активов (для того чтобы удовлетворить требования собственника компании или фискальных органов). Оценка ИТ-активов обязательна при внесении их в уставной капитал компании, при их постановке на бухгалтерский учет. Такая оценка может быть также частью ежегодного аудита для открытых акционерных обществ, кредитных организаций и т.д.
Одной из проблем в этой сфере является зависимость результатов оценки ИТ-активов от выбранной методики оценки. Существуют так называемые индустриальные методы подсчета, когда стоимость определяется с использованием численных методов бухгалтерского учета. Применяются также и качественные оценки, в основном, для обоснования управленческих решений по инвестициям в ИТ.
Но в любом случае результаты стоимостной оценки ИТ-активов становятся более представительными, когда в компании действует процесс управления активами. В рамках внедрения этого процесса, после проведения ИТ-аудита, появляется возможность «оформить» ИТ-активы: учитывать их как самостоятельно, так и во взаимосвязи с другими ИТ-активами, участвующими в производстве ИТ-продуктов и услуг. Обеспечивается возможность управления жизненным циклом значимых ИТ-активов, учета всех затрат на их сопровождение. Таким образом, аудиторы-оценщики получают реальные цифры для подсчетов стоимости активов.
***
Теперь, когда, как мы надеемся, основные опасения по поводу аудита развеяны, попробуем резюмировать основные выгоды, которые может получить организация от проведения ИТ-аудита:
«прозрачное» описание структуры ИТ-службы и решаемых ею задач;
рекомендации по использованию ИТ-ресурсов (как технологических, так и человеческих);
рекомендации по решению технологических проблем;
рекомендации по обеспечению информационной безопасности.
Даже если в момент завершения аудита у предприятия отсутствуют ресурсы для выполнения всех рекомендаций, наличие стратегического плана развития ИТ обязательно пригодится в долгосрочной перспективе.