В условиях стремительно возрастающей роли ИТ-составляющей в российских организациях профессиональный подход к управлению и систематическое обследование информационных технологий по международным стандартам позволяют компенсировать на первый взгляд невидимые, но существенные недостатки в организации производственных процессов. Построение грамотной структуры управления, создание эффективной вертикали принятия решений и системы контроля напрямую зависят от состояния информационных технологий, от их эффективности, производительности, безопасности, надежности и других не менее важных показателей.
Что такое аудит ИТ?
ИТ-аудит, как один из элементов управления и контроля информационных технологий, призван представить заказчику результат, включающий в себя объективные данные о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, установить уровень их соответствия заранее определенным критериям.
За последние несколько лет на российском и западном рынках появилось много компаний, предлагающих услуги, в названии или описании которых встречаются словосочетания «аудит ИТ» или «обследование ИТ». Все разнообразие формулировок и предлагаемых сегодня услуг по аудиту и обследованию ИТ с точки зрения потребителя можно объединить в несколько групп.
Под техническим аудитом понимается сбор и анализ информации и выдача рекомендаций по улучшению работы отдельного элемента ИТ-инфраструктуры (сервер, маршрутизатор, межсетевой экран и т. д.). Здесь предполагается узкая прикладная специализация исследования, можно сказать, что это «штучная» работа для каждого конкретного случая.
Понятием аудит ИТ-составляющей бизнес-процесса определяется аудит информационных технологий, поддерживающих определенный (выделенный или заданный) бизнес-процесс организации на соответствие выработанным критериям оценки.
Аудит ИТ по выбранному критерию - это сбор и анализ информации и выдача рекомендаций по одному из следующих критериев оценки ИТ: безопасность, производительность, надежность, доступность и т. д. При проведении аудита по определенному критерию оценки мы говорим не только об отдельном элементе ИТ-инфраструктуры, но обо всей совокупности программных и аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой организации. Типичный пример этого вида аудита -- самая популярная в настоящее время услуга на российском рынке - аудит информационной безопасности на соответствие требованиям ГТК, ISO17799 и т. п.
В результате комплексного аудита ИТ руководство организации должно знать и иметь возможность оценить все, что происходило и происходит в ИТ организации, сравнить адекватность ИТ потребностям бизнеса, прогнозировать развитие организации и соизмерять его с текущим состоянием и перспективами развития ИТ. В ходе комплексного аудита предполагается оценка всех существующих ИТ-ресурсов и процессов в организации по всевозможным критериям.
Под экспертной оценкой ИТ понимается оценка проектных решений, обоснования инвестиций в ИТ, стоимости ИТ-составляющей организации. При этом рассматриваются не только балансовая стоимость компьютеров и программ, но и долгосрочность примененных проектных решений, текущие ИТ-проекты, возможности перепрофилирования существующей ИТ-инфраструктуры под решение качественно других задач, организации эксплуатации, подготовки пользователей и т. п.
Наконец, обследованием (или, в частном случае, инвентаризацией) называют сбор информации об ИТ организации для ее последующего использования, например проектных работ.
Все эти услуги присутствуют на рынке в спецификаторах услуг российских и западных консалтинговых компаний, компаниях -- системных интеграторах, так называемых «бутиковых» компаниях (специализирующихся на оказании одной услуги).
Многоликий CobiT
Если выполнять технический аудит отдельных элементов информационной системы или ее инвентаризацию можно и без использования комплексного подхода, основываясь на профессиональной подготовке и собственном опыте, то проводить аудит ИТ (особенно комплексный) вне системного подхода, без специальных знаний и апробированных методов и стандартов - невозможно.
Для решения подобных задач была основана Ассоциация аудита и контроля информационных систем (ISACA), являющаяся сегодня мировым лидером в области разработки и распространения практических стандартов по управлению ИТ и их аудиту. Асоциация имеет представительства более чем ста странах мира и охватывает все уровни ИТ: организация, управление, практическое применение.
Стандартом ISACA для проведения ИТ-аудита стал CobiT (Control OBJECTIVES for information and related Technology - контрольные объекты для информационных и смежных технологий) (Рис. 1) -- набор документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется ISACA как открытый стандарт де-факто, куда входит пять книг, ориентированных на разные категории пользователей:
"Резюме для руководителя". Книга представляет собой описание CobiT для топ-менеджеров, позволяющее составить представление и принять решение о применимости стандарта в вашей организации. С переводом этой книги на русский язык можно ознакомиться на сайте www.isaca.ru.
«Описание структуры». Эта книга содержит описание структуры стандарта, высокоуровневые цели контроля и пояснения к ним, необходимые для навигации и эффективной работы со стандартом.
Книга «Объекты контроля» содержит детальное описание каждого объекта.
«Принципы управления». В этой книге можно найти ответы на вопросы, как управлять ИТ, как правильно назначить достижимую, измеряемую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.
«Принципы аудита». Книга содержит правила проведения ИТ-аудита, описание того, где и как можно получить необходимую информацию, какие вопросы задавать, как проверить полученную информацию на полноту, достоверность, непротиворечивость. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.
В отдельный документ в CobiT выделяем набор инструментов внедрения стандарта - материалы по каждодневному использованию стандарта в управлении и аудите ИТ.
CobiT обеспечивает единую структуру универсального подхода к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, дает возможность сравнить ИТ-процессы с «лучшими» практиками, в том числе отраслевыми.
Две основные книги стандарта - «Принципы управления» (management guidelines) и
«Принципы аудита» (audit guidelines) -- полностью отражают двойственность CobiT: это две части целого (оказание воздействия и контроль результатов). Управляем -- воздействуем на ИТ для достижения поставленных целей. Проводим аудит - контролируем достижение цели.
На практике в большинстве организаций необходимый уровень управления обеспечивается внутренней иерархией: вершину дерева занимает лицо, принимающее решение, например генеральный директор, консультант по ИТ, директор департамента ИТ. Управление осуществляется через менеджеров среднего звена (руководителей департаментов, отделов, рабочих групп, менеджеров проектов). Контроль выполнения руководящих указаний обеспечивается формальными отчетами о проделанной работе, при этом полнота и объективность отчетов остается на совести исполнителей работ.
Как же выглядит организация, которая для достижения собственных бизнес-целей формализовала свою деятельность в соответствии с рекомендациями набора стандартов ISO 9000? Допустим, что подавляющее большинство бизнес-процессов организации соответствуют положениям ISO 9000, при этом внедрение стандарта управляется и поддерживается высшим руководством. Как и любой стандарт, предполагающий внедрение, ISO 9000 запускает механизмы контроля и управления, но это механизмы контроля и управления именно бизнес-процессами организации. Вопросы же, связанные с ИТ, рассматриваются как неотъемлемая часть бизнес-процессов. При этом вычленить ИТ-составляющую из общего результата достаточно проблематично и, как следствие, управление ИТ на базе подобной информации затруднительно Стандарт CobiT отвечает на этот вопрос исходя из положения о том, что информация должна помогать организации в достижении бизнес-целей, а ИТ-ресурсы должны управляться набором естественно сгруппированных процессов.
ИТ аудиторы собирают, анализируют информацию и предоставляют отчеты и заключения топ-менеджерам организации в соответствии с руководством аудитора CobiT. На базе аудиторских оценок и заключений руководители обоснованно с точки зрения соответствия ИТ целям и задачам бизнеса осуществляют управление процессами организации.
Проведение аудита ИТ по стандарту CobiT представлено в левой части рисунка. Объекты контроля располагаются в соответствующих фазах бизнес-процессов, которые могут быть формализованы с соблюдением требований стандартов, предоставляя информацию с каждого объекта контроля на более высокий уровень. Рассматривая бизнес-процессы организации, мы подразумеваем, что они могут быть созданы по стандартам качества или без таковых. Собираемая информация объединяется в высокоуровневые объекты контроля, которые затем сводятся в четыре домена CobiT. Оценка организации выводится на шкале модели зрелости организации, и лицу, принимающему решения, гарантируется возможность оценки текущего состояния ИТ, сравнения с требованиями международных стандартов, а также с "лучшей" практикой и стратегией организации в той же отрасли.
Процессы управления схематично отражены в правой половине рисунка. По результатам проведенного обследования руководитель анализирует нужды бизнес-процессов и их требования к ИТ, переходя тем самым к управлению ИТ.
На практике…
Зачастую мы используем разные термины для описания одних и тех же событий. На практике это приводит к недопониманию распоряжений руководства, выполнению ненужных действий, что в свою очередь мешает работе и сказывается на эффективности деятельности организации. Типичным в этом отношении может быть случай, когда головной офис организации располагается в Москве, а офисы разбросаны по всей стране и отчеты ИТ-служб из удаленных подразделений приходят в головной офис в виде, не поддающемся анализу. Руководители компаний пытаются решить эти и подобные проблемы доступными способами, в первую очередь путем обучения, повышения квалификации сотрудников.
Применение CobiT предоставляет всем сотрудникам организации единую ИТ-терминологию, гарантирует возможность общения на "одном языке", что особенно важно на начальном этапе проектов, при описании проблем и инцидентов и т. д. Несомненно, все это облегчает управление и контроль, дает возможность предоставить компетентные однозначные ответы, в том числе при аудиторских проверках. Терминология CobiT становится своеобразной платформой для диалога между всеми участниками процессов, формализуя через термины и определения общение между топ-менеджерами, руководителями среднего звена (ИТ-директором, начальниками отделов), непосредственными исполнителями (инженерами, программистами и т. д.), внутренними и внешними аудиторами, подрядчиками работ.
В той или иной форме вопросы, связанные с внутренним контролем бизнес-процессов организации, ее финансово-хозяйственной деятельностью и информационными технологиями возникают постоянно. В поиске ответов руководители создают собственные службы внутреннего аудита, приглашают аудиторские компании, обращаются за ответами к консультантам. Одна из постоянных рекомендаций аудиторов звучит следующим образом: «Если у вас нет службы внутреннего аудита, то создайте ее, если в службе внутреннего аудита нет подразделения аудита ИТ - создайте его». На определенном этапе организация делает выбор: оценивает экономическую эффективность создания службы внутреннего аудита, которая призвана стать дополнительным источником информации для руководителя, принимающего решения. Если этот шаг признается экономически эффективным, подобная служба создается, если нет -- приглашаются внешние консультанты или аудиторы. В любом случае перед руководителем возникает еще одна проблема -- необходимость выбора методологического средства, на основе которого будет строиться система управления и контроля, будет работать служба внутреннего ИТ-аудита. На сегодняшний день ответом на этот вопрос может стать CobiT.
