Разработка корпоративного регламента внутреннего аудита IT

Введение

Информационные технологии (далее - IT) с каждым годом все более усложняются, поглощают финансовые и временные ресурсы, при этом, не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны менеджмента. При этом IT непосредственно влияют на рыночную стоимость компании. Эффективное управление IT является чрезвычайно важным фактором для выживания и успеха компании. "Система управления IT (IT Governance) в настоящее время многими признается ключевой частью системы управления предприятием (Enterprise Governance) [1].

В самом общем виде термин Governance можно определить таким образом: «Процесс удержания под контролем» [3]. Применяя эту общую идею к контролю IT, авторы методологии COBIT (Control Objectives for Information and Related Technologies) дают следующее определение: «IT Governance» - структура отношений и процессов, направляющая и контролирующая предприятие ради достижения его целей за счет использования IT, при условии равновесия эффектов и рисков от их применения. В противном случае, бизнес и IT так и останутся жить в разных измерениях, пересекаясь только по вопросам затрат на IT и ущерба от IT. "

Работы по совершенствованию системы управления IT обычно направлены на повышение результативности и рациональности деятельности IT-подразделения, а также на повышение зрелости бизнес-процессов в самом IT-подразделении. Зрелость способствует результативности и обеспечивает основу для повышения рациональности, которая в свою очередь поддерживает результативность, позволяя достигать результатов с учетом ресурсных ограничений.

Потенциальная ценность проектов и текущей деятельности по совершенствованию управления IT определяется применимостью к компании приведенных выше преимуществ с учетом затрат на само совершенствование.

Общим подходом к построению/совершенствованию системы управления IT является следующий алгоритм [1]:
-" провести аудит компании с точки зрения наличия элементов системы IT Governance и ее уровня зрелости. Аудит должен производиться относительно некоторой модели "правильного" IT Governance;
- провести сопоставление (benchmarking) c другими компаниями по основным параметрам системы IT Governance - уровню зрелости, структуре управления, расходам на IT, эффекту от использования IT и т.п.;
- поставить цели по уровню зрелости - чего хочется достичь в обозримом будущем (надо отдавать себе отчет, что зрелость системы IT Governance не может значительно превышать общую зрелость компании);
- расставить приоритеты целей;
- спланировать и осуществить изменения;
- проверить степень достижения поставленных целей и повторить цикл."

Аудит IT

"В настоящее время аудит IT представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области управления IT. Его основная задача - объективно оценить текущее состояние IT компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании.

Аудит IT - системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях происходящих в них, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику аудита." Цель IT-аудита - изучить работу составляющих IT компании и показать, где существуют проблемы

Развитие IT является динамичным процессом, требующим постоянного управления и контроля, а идея применения к последним аппарата аудита со всеми его приёмами и инструментарием возникла закономерно и является логически оправданной [2].

Система управления IT в компании являлась непосредственным объектом аудита, заказчиками проведения IT-аудита выступают топ-менеджеры компании, в первую очередь Директор по ИТ (CIO). При этом стоит задача разработать инструментарий внутреннего контроля/аудита IT-деятельности компании, который содержит описание механизмов решения следующих задач:
- составление объективной (в соответствии с определенными критериями и показателями) и понятной для бизнеса картины текущего состояния и управления IT в компании;
- "оценка адекватность IT компании текущим и перспективным целям и задачам бизнеса (с целью увеличения эффективности и рентабельности экономической деятельности компании);"
- разработка согласованного плана мероприятий по устранению недостатков, замечаний, реализации рекомендаций по оптимизации управления IT в компании.

Внутренний аудит IT

Под внутренним аудитом IT подразумеваются проверка и оценка разных сторон деятельности управления IT в компании собственными силами. Это необходимо для того, чтобы удостовериться в соответствии IT компании установленным требованиям, чтобы выявить возможные собственные ошибки при принятии решений, некорректное исполнение или недоработки, а также для того, чтобы подготовиться к проверкам официальных аудиторов или ревизоров.

По данным опроса, проведенного Институтом внутренних аудиторов [3], внутренний аудит будет использоваться для:
- содействия менеджменту в создании системы внутреннего контроля;
- риск-менеджмента;
- участия в повышении эффективности корпоративного управления;
- поддержки внешнего аудита.

Необходимо отметить, что при наличии системы менеджмента качества (СМК) процедура внутреннего аудита обязательна." При этом, выгодой от проведения внутреннего аудита является, как минимум - безболезненное прохождение процедуры внешнего аудита, как максимум - действительное улучшение деятельности организации. "

Внутренний аудит в компании должен рассматриваться как важный фактор эффективности вне зависимости от того, есть в компании внедренная СМК или нет. "Проведение внутреннего аудита повышает доверие инвесторов и других заинтересованных сторон, повышает их уверенность в рациональном использовании компанией ресурсов, сохранности активов, оптимизации компанией рисков деятельности, прозрачности компании, а также в соответствии организации деятельности компании лучшим практикам корпоративного управления."

Для получения полной и объективной картины подверженности компании рискам, связанным с IT, анализу и проверкам должны подвергаться:
- IT-архитектура и организация электронного обмена данными;
- обеспечение безопасности и защиты информации;
- приобретение, внедрение, поддержка и сопровождение оборудования и прикладных систем;
- организация и сопровождение бизнес-пользователей;
- готовность к нестандартным, нештатным и чрезвычайным ситуациям;
- договора с партнёрами по разным вопросам информатизации, с провайдерами услуг, обслуживания и ремонта средств вычислительной техники;
- деятельность IT-менеджмента среднего звена компании;
- озабоченность высшего руководства компании вопросами информатизации;
- организация непосредственно аудита IT, качество подготовки проверки, квалифицированность проверяющих, наличие аудит-рисков и их величина, контроль исполнения аудиторских решений.

Аудит потому и назван «внутренним», что выполнение его предполагается только собственными силами, без привлечения экспертов со стороны. Проверки в рамках внутреннего аудита должны выполняться проверяемыми, т.е. специалистами IT-подразделения в соответствии с методическими рекомендациями и регламентирующими документами.

При таком подходе ключевыми становятся вопросы правильной организации аудита, для решения которых необходимо разработать как общие подходы и схемы проведения аудита, так и определиться с методическим базисом и определить критерии оценки системы управления IT в компании.

Состояние аудиторской деятельности в области IT

"На сегодняшний день в Российской Федерации (РФ) действует ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку достоверности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ISO 9000) и охраны окружающей среды (ISO 14000).

Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТ Р ИСО 19011, могут быть использованы при разработке процедурных положений по проведению аудита IT."

Изложенные в стандарте ISO 19011 алгоритм проведения и детальные требования к этапам аудита, а также документальное обеспечение и требования к участникам аудита используются не только при аудите и сертификации СМК на соответствие ISO 9000, но и приняты (полностью или частично) в качестве базиса для проведения оценки соответствия критериям в других стандартах и методологиях (ISO 17799, ISO 15504, COBIT и др.)

"В то же время определенная стандартом модель проведения аудита должна быть адаптирована для области аудита IT."

Стандарты управления IT

Ни один стандарт не охватывает весь объект управления в деталях. Поэтому необходимо иметь представление обо всех основных стандартах. Их содержание и идеи должны быть использованы в подходящей ситуации.

В настоящее время существует несколько стандартов и методологий процессного подхода к управлению IT. Все модели (ISO 20000, eTOM, ITIL и COBIT, а также модели MOF, Gartner и HP) имеют много общего. Преимущества процессного подхода:
- в основе модели лежат бизнес-процессы компании;
- в подавляющем большинстве компаний процессы, а особенно их цели стабильны и изменяются нечасто, по сравнению с организационными объектами (сотрудники, отделы, департаменты и пр.);
- внедрение IT, как правило, не ограничивается рамками одного отдела или департамента, а затрагивает всю структуру компании.

Деятельность IT-подразделения по большому счету – это деятельность по предоставлению IT-сервисов (продуктов, услуг) необходимых бизнесу в контексте ряда требований и ограничений, в том числе и к качеству данных услуг. "Необходимый результат достигается быстрее и эффективнее, если управление качеством продукции осуществляется через управление процессом производства этой продукции. В результате управления качеством продукции происходит переход от управления результатами процесса (продукцией) к управлению собственно процессами производства продукции.

Процессный подход при управлении качеством позволяет оперативно воздействовать на качество результата деятельности, в результате, во-первых, ускоряется достижение требуемого качества объекта управления, и, во-вторых, повышается эффективность управленческих решений в отношении постоянного улучшения качества продукции и/или услуг."

Сверхзадачей управления IT и, как ее неотъемлемой части - аудита IT, является отказ от тотального, трудно реализуемого и высоко затратного процесса постоянного контроля всех элементов и результатов IT-процессов в компании. Нивелировать, а в перспективе и полностью отказаться от массовых проверок и инспекций, как способа достижения качества, планировалось прежде всего за счет "встраивания" качества в продукцию (в предоставляемые IT-услуги заказчику). Задача аудита IT в этом случае - предоставлять статистические свидетельства "встроенного" качества в процессы производства и предоставления продукции потребителю.

Методика IT-аудита ISACA

"Если выполнять технический аудит отдельных элементов информационной системы или ее инвентаризацию можно и без использования комплексного подхода, основываясь на профессиональной подготовке и собственном опыте, то проводить аудит IT (особенно комплексный) вне системного подхода, без специальных знаний и апробированных методов и стандартов – невозможно."

Непосредственное содержание программ аудита IT определяется исследуемой областью IT компании, целью и критериями аудита. Это может быть аудит конкретной информационной системы или IT-проекта, аудит использования инфокоммуникационных технологий или информационной безопасности. Аудит может проводиться на соответствие определенным стандартам, в качестве критериев аудита могут выступать:
- требования законодательства (SOX),
- нормы корпоративного управления (ISACA),
- международные, индустриальные и технические стандарты (ISO 17799, ISO 15504, COBIT),
- стандарты качества (ISO 9001), в том числе информационных технологий и процессов (ISO 20000),
- профессиональные стандарты внутреннего контроля и аудита (COSO).

Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками.

"В настоящее время в мире достаточно широкое распространение получили методики проведения аудита IT, разработанные Ассоциацией аудита и контроля информационных систем (ISACA), являющейся сегодня мировым лидером в области разработки и распространения практических стандартов по управлению и аудиту IT. ISACA имеет представительства более чем ста странах мира и охватывает все уровни IT: организацию, управление, практическое применение.

ISACA основана в 1969 году и занимает уникальную позицию мирового лидера в области разработки и распространения стандартов по аудиту IT. Стандартом ISACA для проведения аудита IT стал COBIT (Control Objectives for Information and related Technology – цели контроля для информационных и смежных технологий) - набор документов, в которых изложены принципы управления и аудита IT." COBIT применяется для управления и аудита IT, организации оперативного и стратегического управления IT, анализа расходов на IT-проекты и поддержку IT-инфраструктуры, соответствия требованиям законов, стандартов и регулирующих организаций, таких как SOX и COSO.

"Задача COBIT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-подразделением, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей." COBIT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса.

COBIT соотносится с другими стандартами в сфере IT, а также лучшими практиками. Методология COBIT зачастую рассматривается как средство и способ интеграции различных материалов для достижения наиболее понятной и системной картины управления IT. " Так же как ISO 20000 и ITIL, COBIT построен на процессах, является открытым и независимым от конкретных производителей, платформ и технологий."

Жизненный цикл четырех доменов COBIT

Перечисление всех IT-процессов и объяснение того, что представляет собой каждый из них, приведено в [4]. Приведем общие сведения о том вкладе, который каждый домен фактически вносит в управление IT, и кратко опишем, что представляют собой IT-ресурсы и бизнес-требования.

Для понимания сути каждого домена рассмотрим жизненный цикл COBIT всех четырех доменов. Исходная точка жизненного цикла - это бизнес-требования в разрезе не только конфиденциальности, целостности и доступности, но и эффективности, полезности, соответствия и достоверности. Бизнес-требования получают исходные данные от бизнес-задач (включая объекты управления) за пределами жизненного цикла домена в одном направлении и передают изменения требований к этим объектам в противоположном направлении.

Планирование и организация

Планирование и организация - главный домен в жизненном цикле, поскольку охватывает стратегию и тактику, а также определяет способ, при помощи которого IT могут лучше всего участвовать в достижении задач бизнеса. Для того, чтобы реализовать эту стратегическую концепцию, вам нужно планировать, налаживать общение и управлять. Необходимо обеспечить правильную настройку компании и наличие адекватной технологической инфраструктуры. Затем необходимо проверить, правильно ли отрегулированы бизнес-стратегия и IT, достигнуто ли оптимальное использование IT-ресурсов. Вы должны убедиться, что каждый сотрудник компании понимает задачи IT. Затем следует оценить, как осуществляется управление риском, и как IT-системы соответствуют потребностям бизнеса.

Приобретение и внедрение

Реализация IT-стратегии осуществляется в домене "Приобретение и внедрение ". Здесь происходит выявление, разработка или приобретение IT-решений и их интеграция в бизнес-процессы. Ведется контроль за тем, что новые проекты реализуются своевременно и в соответствии с бюджетом и внедряемые IT-решения соответствуют потребностям бизнеса и работают должным образом (после реализации). Чтобы гарантировать, что IT-решение соответствует задачам бизнеса, необходимо внести изменения в существующие системы, не нарушая текущих бизнес-операций.

Эксплуатация и сопровождение

После успешной реализации новой системы, переходим к домену "Эксплуатация и сопровождение". Он связан с актуальной поставкой необходимых сервисов, в том числе предоставлением сервиса, управлением безопасностью и непрерывностью, сопровождением сервиса для пользователей и управлением данными и рабочими средствами. Необходимо обеспечить, чтобы поставляемые IT-сервисы соответствовали бизнес-приоритетам, а расходы на IT не выходили за рамки бюджета. Необходимо гарантировать, что трудовые ресурсы смогут производительно и безопасно использовать IT. Как часть политики обеспечения информацией, следует предусмотреть обеспечение конфиденциальности, целостности и доступности.

Мониторинг и оценка

Все IT-процессы должны время от времени проходить проверку на качество и соответствие требованиям управления. Именно здесь на сцену выходит домен "Мониторинг и оценка". К его задачам относятся управление эффективностью, мониторинг внутрифирменных средств контроля, соответствие нормативам и обеспечение управления. Здесь решается, может ли быть адекватно измерена эффективность IT (это поможет своевременно обнаружить проблемы), и можно ли проследить эффективность IT до решения бизнес-задач. Роль руководства заключается в обеспечении эффективных внутрифирменных средств контроля. Еще более важно обеспечить средства измерения и генерации отчетов о риске, управлении, соответствии и эффективности.

Этот домен не ограничивается данным этапом жизненного цикла. Если отчеты показывают, что изменения в бизнес-требованиях являются существенными и требуют поддержки при помощи слияния IT-технологий, а также затрагивают управление IT и бизнес-задачи, жизненный цикл выполняет итерацию. Необходимо обновить бизнес-требования, которые, в свою очередь, повлияют на процессы управления IT.

Модели зрелости COBIT

"Определяемые в COBIT модели зрелости компании (Maturity Model) позволяют руководству компании дать оценку текущему состоянию IT-процессов в сравнении с лучшими примерами в данной отрасли и найти возможности их совершенствования.

В целом в «незрелых» компаниях успешность IT-проектов полностью зависит от личности администратора-«универсала». Система управления и преемственность в деятельности IT-отдела практически отсутствуют. Вплоть до того, что с уходом «универсала» вообще все может перестать работать.

С повышением уровня зрелости компании увеличивается роль системы управления и понижается роль администратора. Администраторы становятся взаимозаменяемыми, а наличие отточенных навыков в узкой предметной области и специальных знаний, начинает цениться выше универсальности. Такая система выгодна для компании, но не выгодна для администратора-«универсала». Этим объясняется то сопротивление со стороны IT-специалистов, с которым сталкиваются руководители IT-отделов, внедряющие систему управления IT.

Самого высокого уровня зрелости достигают компании, в которых IT-система как совокупность ПО, оборудования, средств связи, а также специалистов, действующих в рамках стандартизированных IT-процессов, представляет собой хорошо отлаженный механизм, обеспечивающий эффективное управление информационными ресурсами компании. В такой компании все IT-процессы оптимизированы на основе требований стандартов и лучшей мировой практики управления IT, а информационные системы могут быть легко адаптированы к требованиям бизнеса."

Принципы аудита по COBIT

Методика проведения аудита IT изложена в книге COBIT «Принципы аудита» (Audit Gguidelines) [5], которая:
- определяет правила использования методологии и основных принципов управления COBIT при проведении IT-аудита. "Это руководство в большей степени ориентировано на аудит IT-процессов, чем на аудит конкретных функций или приложений;
- позволяет производить проверку реализации каждого из 34 высокоуровневых IT-процессов COBIT на предмет достижения каждой из 318 детальных задач контроля (см. [4]), что позволяет аудитору оценивать адекватность реализованной системы управления требованиям стандарта и бизнес-целям, формировать рекомендации по ее улучшению;
- содержит правила проведения IT-аудита, описание того, у кого, где и как можно получить необходимую информацию, как проверить полученную информацию на полноту, достоверность, непротиворечивость.

Подход к аудиту опирается на следующие материалы COBIT:
- Концептуальное ядро COBIT, определяющее общий понятийный аппарат и включающее в себя классификацию IT-процессов (объектов контроля), описание информационных критериев и IT-ресурсов;
- Общие требования к процедуре аудита IT-процессов, изложенные в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту»;
- Общие принципы управления, изложенные в разделе «Общие замечания относительно оценки процессов управления».

Инструкции и требования, приведенные в «Принципах аудита», предназначены для использования в качестве вспомогательных средств и методологической основы при разработке конкретных программ проведения аудита. При планировании аудита должны учитываться следующие факторы:
- Критерии и требования, специфичные для данной отрасли;
- Отраслевые и промышленные стандарты;
- Особенности используемых программно-аппаратных платформ;
- Конкретные механизмы управления, используемые в компании.

На более низком уровне абстракции определяются основные стадии проведения аудита и формулируются «Детальные инструкции по аудиту конкретных IT-процессов», которые аудитор дополняет и конкретизирует с целью приведения их в соответствие с конкретными условиями проведения аудита и особенностями исследуемых IT."

Согласно COBIT аудит IT состоит из следующих этапов:
- Предварительное обследование, цель которого: ознакомление и формирование рамок и целей аудита;
- Разработка программ и процедур аудита;
- Реализация программы аудита и разработанных процедур;
- Разработка отчета об аудите;
- Мониторинг и последующие контрольные проверки.

Модели проведения аудита

"Наиболее распространенной моделью оценки механизмов управления IT является классическая модель аудита, на которой и построены «Принципы аудита» COBIT." В соответствии с этой моделью критериями аудита выступают определенные стандартом COBIT для каждого IT-процесса объекты контроля, описание которых и содержат «Принципы аудита». В процессе аудита проводится оценка текущего состояния тех или иных процессов на соответствие определенным согласованным критериям по каждому объекту контроля.

"Другим подходом является модель анализа рисков, при которой критерии аудита формируются на основании оценки рисков. Любая модель может применяться на практике при проведении IT-аудита на базе COBIT."

Риски процесса аудита IT

По определению ISACA [2], «риск - это вероятность совершения действия или наступления события, проявляющего негативный эффект в отношении компании и ее информационных систем».

Как составная часть процесса управления компанией, аудит IT, в свою очередь, также подвержен влиянию рисков. Для снижения рисков применяются различные методики управления ими. Риски, связанные с проведением IT-аудита, условно можно разделить на: проектные риски, риски предметной области (IT-риски) и процессные риски (риски аудита), т.е. риски, отражающие специфику процессов аудита IT.

По способу организации работ аудит IT относится к проектной деятельности, поскольку каждый аудит:
- инициируется и санкционируется руководством компании;
- характеризуется четко определенными временными рамками и конкретными задачами;
- требует выделения ресурса, в зависимости от сложности и объема задач, для достижения поставленных целей.

В свою очередь, развитие дисциплины управления проектами сформировало собственное видение проектных рисков. Ниже перечислены некоторые наиболее характерные риски для проекта аудита IT:
- Риск неправильного планирования проекта, в том числе неправильное планирование ресурсов, продолжительности и этапов проекта в условиях диктата заказчика и руководства исполнителя, ориентировки на конкретных экспертов, в то время как они недоступны, и т.д.;
- Организационно-управленческий риск. Например: недостаточная поддержка проекта руководством компании, неэффективная структура проектной команды и тому подобное;
- Риск изменения границ проекта. Например: недостаточно четкое определение требований в начале проекта, изменение требований в ходе проекта и т.п.;
- Риск персонала. Например: более долгое, чем планировалось, формирование проектной команды, низкая производительность и мотивация персонала проектной группы, несвоевременная передача достоверной информации и т.п.;
- Процессный риск. Например, избыточный объем канцелярской переписки, избыточная или, наоборот, недостаточная формальность проектных процедур и т.д.;
- Общий риск провала проекта. Например, при смене руководства или отсутствии финансирования в ходе осуществления проекта и т.п.

Оценка риска самого процесса аудита и его результатов в настоящее время приобретает все большее значение для специалистов по управлению рисками. Сегодня понятие риска играет ключевую роль в мире аудита. В методических рекомендациях ISACA по оценке риска при планирования аудита IT [6] рекомендуется применять те же базовые методы, что и для аудита финансовых систем. Там же указывается, что для оценки общего риска необходимо производить оценку внутреннего риска, риска средств контроля и риска необнаружения. Все эти компоненты входят в универсальную модель риска аудита, учрежденную под эгидой «Общепринятых стандартов аудита» (GAAS — Generally Accepted Auditing Standards). Эта модель позволяет аудиторам учитывать различные обстоятельства при выборе собственного подхода к аудиту.

Для практики исключительно важным является то, что аудит IT ориентирован как на специалистов в области IT, так и на специалистов в области менеджмента. Такой подход устраняет существующее недопонимание IT-специалистов руководством компании. В данном случае они объединяются в единую команду, ориентированную на повышение экономической эффективности и рентабельности деятельности компании.

Обеспечение управления IT компании является сложной и комплексной задачей." Управление IT не может быть целью деятельности компании, а потому не имеет самостоятельного значения, но оно является одним из мощнейших инструментов, которое при правильном использовании может оказывать существенную поддержку бизнесу компании."

Список литературы

1. Корольков М. Управление ИТ (IT Governance), http://www.osp.ru/cio/2003/12/173048/
2. Внутренний аудит информационных технологий, http://www.gaap.ru/biblio/soft/art_soft026.asp
3. Петров В., Алексеева А., Головач А., Внутренний аудит в российских компаниях, http://www.fd.ru/
3. Hamaker S. Principles of Governance, Spotlight on Governance. Information Systems Control Journal, Vol. 1, Vol. 3, 2003.
4. COBIT ver.4.1, Официальный русский перевод. Методология, цели контроля, руководство по управлению, модели зрелости процессов, Пер. с англ. под ред. И.А. Вдовина, ITGI, 2007.
5. COBIT 3rd Edition, Audit Guidelines, ITGI, 2000.
6. ISACA «IS Auditing Guideline, Use of Risk Assessment In Audit Planning», 2000.

Copyright © 2009 Драгалин М.И.