Проводим ИТ аудит?

Введение: что такое ИТ аудит?
Тема ИТ аудита становится все более популярной в широких кругах, давайте внесем ясность, что же такое «Аудит в ИТ».
В какой ситуации кто-либо задумывается проводить ИТ аудит?
Обычно это:
• На работу пришел новый генеральный директор (проводится общий аудит), ИТ директор,
• Руководство не совсем понимает, что происходит в ИТ отделе и на что идут деньги?
• Кто-то кому-то не доверяет, хочется взгляда на проуесс со стороны,
• Хочется проверить, все ли «правильно» делается в ИТ?
• В некоторых случаях закон обязывает проводить независимую оценку ИТ, к примеру, на предмет безопасности ИТ систем.
Какие обычно цели преследуются при проведении ИТ аудита:
• Получение независимой авторитетной информации о работе ИТ,
• Получение авторитетной оценки на соответствие каким-либо нормам и правилам,
• Получение экспертного мнения,
• Соблюдение требований законов.
Для каждой цели могут быть свои модели и способы проведения ИТ аудита. Таким образом необходимо каждый раз уточнять, что же имеется ввиду, и какой смысл стоит за словами «Проведение ИТ аудита».
По отдельным направлениям уже существуют стандарты, группы и ассоциации ИТ аудиторов, но по многим еще нужно подождать «зрелости сообществ» и появления стандартов.
Так как при проведении ИТ аудита намного больше значит «кто проводит», чем «как» и по какой схеме, то частую руководители предприятий обращаются именно к тем, кому доверяют, с просьбой – «посмотрите, как дела у меня с ИТ?». Отметим, что часто такая позиция оправдана:
• Исполнитель знаком с Заказчиком, его бизнесом, основными целями и рисками бизнеса,
• Его мнение авторитетно, следовательно результаты могут быть использованы,
• Разговор с заказчиком будет на «одном языке», что сокращает в несколько раз сроки и бюджет проекта.
Чего ждать от результатов аудита?
Для какой бы цели не проводился ИТ аудит, он должен достичь результата. Отчет аудитора должен быть прежде всего доказателен. Как правило, в отчете содержатся рекомендации, что тоже важно, и часто именно рекомендации являются целью ИТ аудита.
Ведь целью должна являться фиксация текущих результатов и понимание направления движения вперед. Аудит – это не вотум недоверия ИТ службе предприятия, а признак управленческой зрелости команды.
Краткий обзор моделей ИТ аудита
Как уже говорилось ранее, выбор конкретной модели зависит от целей проведения ИТ аудита.
Аудит - «Все ли правильно?» («как надо?»)
В строгом понимании слова, аудит возможен лишь на соответствие чему-либо.
К примеру, аудит ИТ проекта проводится на предмет соответствия нормам, указанным в Уставе проекта, и регламентам организации Заказчика. Каких-либо единых для всех норм по поводу того, как внедрять ИТ проекты – не существует, все носят рекомендательный характер.
Если утвержденных в проекте норм нет – то необходимо говорить скорее об ЭКСПЕРТИЗЕ проекта.
Тоже самое относится и в целом к управлению ИТ в организации. Обязательных для всех норм – не существует. Каждый раз, проводя ИТ аудит, вы должны выбрать «модель», которую считаете эталоном, и сравнивать с ней.
Примеры таких моделей: (но каждая из которых требует адаптации и имеет свои границы применимости) ГОСТ 34.хх, COBIT, ISO 12207, ISO 9001, ISO 20000 и т.д.
Аудит: можно ли эффективней?
Как правило, модели ИТ аудита с такой целью основываются на оценке рисков или же на экспертизе аудитора в какой-либо конкретной области.
Если у заказчика есть сомнения в чем-либо, это можно представить в виде рисков. Следует заметить, что управление на основе рисков требует довольно продвинутого и специфического менеджмента, такая модель не сильно распространена не только у нас, но и на западе. В тоже время, часто проводят аудит с целью снижения какого-либо одного ключевого риска. Все помнят эпопею с ИТ аудитом «проблема 2000».
Аналогично с эффективностью: как правило, речь идет об одной или двух статьях в бюджете, и внимание аудитора привлекают конкретно к ним. В таких вопросах чаще обращаются к экспертизе.

Основные этапы аудита
Фактически, проведение любого ИТ аудита состоит примерно из следующих этапов:
• Уточнение целей и согласование процедур проведения ИТ аудита,
• Проведение обследования и документирования
• Проведения проверок
• Составление рекомендаций и формирование отчета.
Как правило, для проведения таких работ используют интервьюирование, анализ имеющихся документов. У Исполнителя имеется своя база проверочных вопросов для определения реального положения дел в рамках выбранной модели.
На что надо обратить внимание?
Самое главное – это четко определить цели проведения ИТ аудита, записать их и обсудить с аудитором как цели, так и стратегию проведения аудита.
Организации необходимо заранее спланировать саму возможность проведения аудита. На практике часто сталкиваются с такими банальными проблемами, как соглашение о конфиденциальности. Для получения формального доступа к документации часто необходимо согласие разработчика, если не в 99% случаях. Очень редко предприятия предусматривают такую возможность в договорной документации, сокращая свои возможности в будущем.
Таким образом, вопрос, «кто проводит» ИТ аудит является одним из основных. Не достаточно выбрать известный бренд, нужно выбирать тех специалистов, которым вы доверяете. Основную ценность здесь представляют личные знания и опыт аудиторов.
Аудит процессов ITSM.
При проведении аудита процессов ITSM часто используют собственные методики, основанные на ITIL, или же модель CobiT, стандарт ISO 20 000, или модели вендоров.
Обычно, аудит ITSM процессов используется для обоснования и понимания дальнейших путей развития, исправления ошибок. Или же как плановое мероприятие.
В большей части случаев, такие аудиты проводятся при смене руководства, управляющих компаний, кризиса в управлении.
Не зря проекты внедрения ITSM относятся к сложной категории, зачастую, находится только с трудом работающая служба Service Desk на очень дорогом программном обеспечении, и сложные инструкции, написанные консультантами, не имеющими достаточного опыта.
Аудит процессов ITSM в организации с применением формальных моделей хорош как регулярное, изначально запланированное мероприятие. Когда проект планомерно развивается несколько лет.
В проектах такого рода огромное значение имеет правильно отстроенное отношение с бизнесом, правильная мотивация ИТ персонала и всей команды. В ITIL приводится оценка, что «мягкие» (не связанные с техникой) факторы определяют успех проекта на 70%. И уж точно, применение формальных подходов аудита имеет мало смысла, где не распространена сама концепция ITSM. Результаты такого аудита можно написать еще до его проведения.
Не стандартные варианты проведения аудита
Часто ИТ аудит проводят не «широким фронтом», а для решения конкретных задач сегодняшнего дня.
При ведении большого проекта, иногда фирму аудитора привлекают для работы в регулярном режиме. Это приводит к расчетному удорожанию проекта на 5-10%, но резко снижает риски проекта. Т.е. по факту, снижает совокупную стоимость проекта. Крайне редки случаи превышения бюджета, а если аудитор получает премиальные от экономии бюджета – то его усилия всегда оправдываются.
Бывает, не хватает информации для обоснования большого проекта, или проведения больших изменений в проекте. В некоторых случаях обосновать аудит проще, чем проект подготовки технико-экономического обоснования. Аудитор может предоставить реальную информацию и рекомендовать нужный для организации проект, даже не подозревая о такой цели аудита.
Проведение аудита возможно также для целей смены, дублирования подрядчика. Сложные проекты или услуги выполняются большими командами специалистов, и быстро заменить команду всегда является крайне серьезной проблемой. При смене команды всегда имеется большой риск резкого «спада производительности», если уже объявлено о смене состава. Проведение аудита дает возможность новым сотрудникам подготовится к работе, участвуя в аудите, и исключить фактор «демотивации» предыдущей команды в проекте.
Снижение недовольства пользователей ИТ услугами. Зачастую, ИТ директор не имеет достаточно авторитета в организации, по сравнению с ее ключевыми менеджерами. Если зреет конфликт, то имеет смысл привлечь «авторитет» со стороны.


Источник: ИТ компания acomIT – услуги ИТ аудита
20:31 07.11.2017



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Познавательное

Почему я не ем и полнею? Пять мифов о ЗОЖ

В последние пару лет несомненным трендом, как в 70-е диско и в 90 «варенки», стал здоровый образ жиз...

Появились ли новые профессии?

Сколько сейчас профессий? Точную цифру вам никто не назовет. Одна из причин этого в том, что такую с...

Чем хороша кухонная мебель из нержавеющей стали?

Производственная мебель из нержавеющей стали, наверное, у многих людей ассоциируется с дешёвой, скуч...

Сортировочные машины: обзор устройств для сортиров

Ягоды, фрукты, овощи, поступающие от сельхозпредприятий на разнообразные базы, заводы, хранилища, мо...

Идея бизнеса: Оказание помощи при прохождении техн

Хочется поделиться бизнес идеей ,связанной с оказанием помощи населению при прохождении техническог...

Купить вакуумный пакет для продуктов питания: подб

Если рассмотреть современный рынок упаковочного материала, то очень популярным и востребованным спос...

Береги волосы с молоду.

Даже взрослым рекомендуется красить волосы в не чаще раза в месяц. Ребенку же (даже если ему уже 14...

Интернет вложения как средство дополнительного зар

В последнее несколько лет все большую популярность набирают интернет инвестиции. Появляется огромное...

Как сложилась карьера капитана А.И. Казарского?

Капитан А.И. Казарский стал известен в 1829 году, когда бриг «Меркурий» под его командов...

Оригинальные подарки - как правильно подобрать

Что делать в том случае, если время и денежные средства ограничены, остроумные идеи вас не посещают ...



О портале:

Наш проект создан для граждан, желающих ежедневно совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных постов делает наш портал удобным для чтения.

Содержательная и познавательная информация, которая собрана на нашем интернет портале дает возможность ответить на отдельно интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет смысла тратить солидное количество времени для поиска ответа на интересующий вас вопрос.