|
Аттестат электронной зрелости |
Нестандартные проверки
Аудит ИТ-систем — понятие в России относительно новое. Более того, собственно к аудиту прямого отношения не имеющее. Дмитрий Садков, директор департамента управленческого консалтинга компании IBS: Отчеты ИТ-аудиторов в отличие от бухгалтерских не строятся на основе официальных регламентов и не могут быть использованы при подготовке официальной отчетности. Хотя некоторые компании пытаются делать официальные аудиторские заключения в области ИТ, но это не распространенная практика, особенно в России.
При этом идеологически задачи ИТ-аудита во многом схожи с задачами аудита традиционного. Дмитрий Хомаза, замдиректора департамента финансово-аналитических систем компании "Ланит": Любой аудит проводится для того, чтобы дать руководству и владельцам компании адекватную картину происходящего и планировать развитие на будущее. Как правило, подобные моменты сопряжены с серьезными переменами в жизни предприятия — сменой собственника или высшего менеджмента, либо подготовкой компании к продаже. Кроме того, аудит может являться регулярной процедурой в рамках планирования и развития информационных технологий самой компании.
Дмитрий Садков: ИТ-аудит обычно заказывают руководители высокого ранга. Например, приходит в компанию новый директор и хочет понять, почему такая существенная доля затрат приходится на информационные технологии. Что уже в этой области сделано и как это используется? Зачем столько покупается компьютеров, если у каждого сотрудника уже по одному есть? Насколько моя ИТ-структура соответствует задачам моего бизнеса и как мне ее усовершенствовать? И на такие простые вопросы они хотят получить простые ответы. Другой случай, когда в большую, территориально распределенную компанию приходит новый ИТ-директор и хочет понять, какие ИТ-активы здесь уже имеются. И третий случай, когда провести ИТ-аудит просит руководитель предприятия, который с недоверием относится к работе ИТ-службы. Такие заказчики обычно говорят: "Посмотрите, нормально ли у нас с ИТ, а то у меня такое ощущение, что все время что-то не работает. Денег я плачу много, а понять, оправданы ли эти затраты, не могу". Часто такие вопросы возникают, когда между подразделениями компании происходят конфликты. Например, когда бухгалтерия регулярно не может своевременно закрыть месяц и обвиняет в этом разработчиков ИТ-системы, а те утверждают, что бухгалтера просто неправильно используют систему.
Еще один случай, когда стоит подумать о проведении ИТ-аудита — если ИТ-систему на вашем предприятии устанавливал не непосредственно разработчик, а посредник. Николай Красилов, президент корпорации "Галактика": В нашей практике самым распространенным является обращение клиентов с просьбой провести ИТ-аудит, когда клиент планирует развивать информационную систему и хочет в связи с этим оценить текущее положение дел и возможный объем работ. Также довольно часто аудит заказывают клиенты, у которых внедрением разработанных нами систем занимался кто-то из наших партнеров. И заказчик хотел бы проверить адекватность выполненных работ. Естественно, пользуясь услугами посредника, заказчик сэкономил деньги, но при этом он хочет понять, добился эффекта или нет. Третья распространенная ситуация — когда заказчик поручает аудит фирме, не связанной с поставщиком информационной системы. То есть он хочет получить объективную оценку установленной у него системы.
Понятно, что основная масса заказов на проведение ИТ-аудита связана с модернизацией предприятий, расширением их бизнеса либо со сменой управленческих кадров. А именно эти процессы активизируются в периоды роста экономической активности. Поэтому неудивительно, что на фоне роста экономики в последние годы спрос на услуги ИТ-аудиторов стремительно растет.
Николай Красилов: Особенно заметен рост числа подобных заказов за последние два года. Если в 2001 году к нам с просьбой провести ИТ-аудит обратились 15 клиентов, а в 2002-м — 20, то уже в 2003-м их было больше сотни, а в этом, судя по текущей динамике, будет около двухсот. Даже если исключить фактор общего роста клиентской базы, получится, что процент работ по ИТ-аудиту от общего числа наших клиентов вырос за эти годы с 0,5% до 3,5%. С нашей точки зрения, этот взрывной рост связан прежде всего с тем, что сейчас российские предприятия находятся на стадии динамического развития бизнеса, когда перед ними стоят задачи захвата рынка, выпуска новой продукции, ценовой борьбы, активизации работы с персоналом и т. д. И под новые стратегии компаниям надо модернизировать систему управления и информационную систему. Мы анализировали причины, побуждающие проводить ИТ-аудит, и выяснилось, что в 79% случаев — это новые задачи, которые ставят перед собой предприятия. Вторая по частоте причина обращений — аудит, проводимый по инициативе инвесторов и акционеров, которые просто хотят убедиться в том, что бизнес развивается нормально.
Типовое проектирование
Аудиторская проверка ИТ-систем состоит из нескольких этапов. Для начала аудиторы проводят собеседование с топ-менеджерами компании, в том числе с руководителем ИТ-службы. На этом этапе формулируются задачи, которые стоят перед аудиторами, и утверждается перечень работ и их график.
Следующий этап — непосредственное проведение аудита. Первое, что стараются сделать аудиторы,— понять, как функционирует ИТ-система компании, из каких частей состоит и как эти части взаимодействуют. При этом аудиторы пытаются наложить "теоретически правильную" схему организации ИТ-службы на реализованную в конкретной компании.
Дмитрий Садков: По большому счету ИТ-блок компании можно разбить на пять больших составляющих. Первая — это функциональные приложения, системы управления, которые поддерживают бизнес-процессы. Вторая — инфраструктура, то есть компьютеры, сети, серверы и каналы связи, обеспечивающие работу функциональных приложений. Третья — система эксплуатации, позволяющая обеспечить стабильный режим работы первых двух составляющих. Четвертая — сама ИТ-служба, совокупность регламентов и правил ее работы. И наконец пятая — система безопасности, под которой мы понимаем не просто какие-то ИТ-компоненты, а совокупность регламентов и технических средств, которые обеспечат безопасность информации и бесперебойность бизнеса компании в целом.
Эти пять составляющих тесно связаны и должны способствовать повышению эффективности бизнес-процессов. Но это в идеале. В реальной жизни, как правило, не все так. Допустим, приложение недостаточно хорошо поддерживает бизнес-процесс. Или инфраструктура не обеспечивает нормальную работу приложения. Бывает и наоборот — в инфраструктуру вложили слишком много денег и продолжают вкладывать, а там уже такая мощность достигнута, которая для поддержки данных приложений явно избыточна.
Для оценки эффективности совместной работы подразделений обычно применяется анкетирование сотрудников. При этом выясняется, какие проблемы стоят перед пользователями и чем они вызваны. Заодно аудиторы проверяют регламент и организацию документооборота в работе ИТ-подразделений.
Дмитрий Хомаза: Обычно используется метод перекрестного анкетирования. То есть, с одной стороны, мы работаем с ИТ-подразделениями, собираем информацию о том, какие информационные системы у них установлены, каковы характеристики этих систем, каково покрытие потребностей существующих бизнес-процессов. С другой стороны, мы опрашиваем сотрудников функциональных подразделений, которые вовлечены в эти бизнес-процессы, и узнаем у них, какие системы они используют и в каком объеме. После чего эти данные могут быть сопоставлены и проанализированы. Далее мы интервьюируем специалистов по поддержке и развитию систем, проводим обследование работы службы поддержки и определяем степень оперативности реагирования на запросы пользователей. Параллельно проводится анализ технологической базы, архитектуры информационных систем, а также оценивается степень интеграции внедренных приложений. Потому что одна из бед любого крупного предприятия — наличие большого числа информационных систем, не связанных между собой, что влечет необходимость дублирования ввода данных, приводит к их низкой достоверности и т. д.
Такая процедура не всегда проходит гладко: сотрудники ИТ-подразделений иногда не заинтересованы в предоставлении данных "чужакам" — они не без оснований полагают, что за выявленные в ходе аудита недостатки могут быть уволены или понижены в должности.
Дмитрий Садков: Для сотрудников функциональных служб анкетирование — способ излить кому-нибудь душу, они рады тому, что хоть кто-то послушает, что у них что-то не работает. Они уже устали говорить об этом своим ИТ-специалистам, которые в ответ на их жалобы отвечают непонятными словами. В самих ИТ-службах, как правило, довольно настороженно относятся к анкетированию, особенно если это уже давно существующая и устоявшаяся служба. Конечно, характер отношения к аудиторам очень сильно зависит от того, как им опишут цель аудита. У наших коллег был такой случай. Пришел новый руководитель на предприятие и говорит сотрудникам ИТ-службы: "Вот, знакомьтесь, это аудиторы. Они тут походят, посмотрят. Вы им все расскажите, они поймут, как вы работаете. А потом я половину из вас выгоню". Конечно, это крайность, но в любом случае отношение изначально настороженное. Тем не менее серьезной помехой работе аудиторов это не является. Есть вещи, которые трудно скрыть, особенно если они задокументированы. Кроме того, функциональные специалисты, как правило, достаточно легко идут на контакт. И информация, полученная от них, часто более ценная, чем от сотрудников ИТ-подразделений, поскольку у последних часто бывает довольно специфический взгляд на вещи. У такого специалиста есть функции, которые он исполняет. А как эти функции согласуются с реальными бизнес-процессами, для него не всегда вопрос приоритетный.
В отличие от выяснения степени адекватности персонала тестирование технологических систем не связано с подобными проблемами. Поэтому некоторые эксперты склонны даже выделять эту работу в отдельный вид аудита.
Дмитрий Хомаза: Помимо аудита информационных систем также можно выделить и технологический аудит. Он включает в себя анализ серверов и рабочих станций, уровня защиты сети, эффективности ее работы и т. д. При этом дается комплексная оценка используемого оборудования и коммуникаций, методов защиты информации и степени соответствия их различным стандартам. Примером таких стандартов для задач аудита информационной безопасности могут являться методики ФАПСИ и гостехкомиссии. Дополнительной услугой может являться анализ нагрузки на серверы в локальной сети с использованием специальных приложений. Это позволяет выявить и в дальнейшем устранить узкие места в работе прикладных систем. Например, у вас стоит десяток серверов, и среди них есть один старый, маломощный, который так и просится на замену, потому что вам кажется, что именно из-за него все работает медленнее. Однако анализ информационных потоков может показать, что он-то как раз справляется со своей работой, а одна из новых мощных машин уже перегружена.
Цена по мерке
После окончания работ аудиторы представляют отчет. В среднем вся процедура от начала исследования до составления отчета занимает от двух до шести недель в зависимости от сложности задачи. При этом надо заранее иметь в виду, что в отчете будет описано лишь текущее состояние дел, но не будет серьезных рекомендаций по развитию ИТ-системы — это отдельная задача уже из области бизнес-планирования.
Стоимость ИТ-аудита может колебаться в широких пределах опять-таки в зависимости от масштаба проблемы. Николай Красилов: Реально на то, чтобы ответить на все стандартные вопросы для одного офиса среднего предприятия, требуется примерно две-три недели работы. Если речь идет просто о сети рабочих терминалов, я бы выделил на это группу минимум из трех специалистов. Получается два-три человеко-месяца. Стоить это будет от $10 тыс. до $15 тыс. в зависимости от того, какой бизнес-процесс исследуется и специалисты какой квалификации потребуются. Если речь идет о бухгалтерской отчетности или логистике,— это дешевле. Если это управление производством, сложная логистика, отчетность по международным стандартам, придется привлекать более дорогостоящих специалистов. Дмитрий Садков: Диапазон цен очень широк. Сейчас мы для не очень большой компании делаем короткий и понятный проект со сроком исполнения около месяца. Гендиректор просто хочет понять, не в ИТ-системе ли источник проблем предприятия. Стоит это всего $25 тыс.
Кроме цены услуги важным фактором при определении необходимости проведения ИТ-аудита являются размер компании и ее структура. Дмитрий Хомаза: Едва ли ИТ-аудит целесообразно заказывать для небольшой компании. Скажем, с численностью сотрудников до ста человек. Поскольку в данном случае очевидно, что служба ИТ у них находится где-то рядом и руководство может само оценить результаты ее работы. Скорее данная услуга рассчитана на территориально распределенные и крупные компании, как правило, имеющие большое количество видов бизнеса и сложную систему управления.
Дмитрий Садков: Мне кажется, компания с годовым оборотом меньше $50 млн едва ли может позволить себе ИТ-аудит. Хотя примеры есть. Компании меньшего масштаба заказывают ИТ-аудит, беря пример с крупных компаний. Но потом выясняется, что с точки зрения инвестиций у них совсем другие приоритеты — надо закупить оборудование, провести рекламную кампанию, снять помещение и т. п. Так что на самом деле эта процедура оказывается для них экономически невыгодной.
ПЕТР РУШАЙЛО